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V 我 们 日 常 处 理 的 恶意 软件 样本 中 都 会 使 用 几 个 已 知 的 包 例如 : ASPack, Armadillo, 
Petite, FSG, UPX, MPRESS, NSPack, PECompact, WinUnpack 等 等 . 他 们 中 的 大 多 数 很 容 
易 用 一 个 脚本 来 解 讨 缩 。 


v 我 们 也 知道 一 些 经 常用 来 创建 和 分 配 内 存 的 APl， 例 如 : 


ν΄ VirtualAlloc/Ex( ) 

۷ HeapCreate( ) / RtlCreateHeap( ) 
Y HeapReAlloc( ) 

ν΄ GlobalAlloc( ) 

۷ RtlAllocateHeap( ) 


此 外 ， 我 们 还 知道 如 何 使 用 调试 器 、 断 点 和 从 内 存 中 转 储 未 打包 的 内 容 来 解压 缩 
C1]. ЭЕ Bl Hasherezadel'Jpe-sievedE #1735, © 


v 当 我 们 意识 到 恶意 软件 使 用 了 一 些 定制 的 打包 技术 时 ， 仍 然 可 以 从 内 存 中 转 储 它 ， 
用 Python 代码 修复 ImageAddress 字 段 , 并 在 IDA Pro 中 使 用 impscan 插 件 对 各 自 的 IAT 进 
行 分 析 : 


۷ export VOLATILITY_PROFILE=Win7SP1x86 
v python vol.py -f memory.vmem procdump -p 2096 -D . --memory (to keep slack space) 
v python vol.py -f memory.vmem impscan --output=idc -p 2096 
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//ΗΗΗΗΗΗΗΗΗΗΗΗΗΗΗΗΗΗΗΗΗΗΗΗΗΗΗΗΗΗΗΗΗΗΗΗΗΗΗΗΗΗΗΗΗΗΗΗΗΗΗΗΗΗΗΗΗΗ 
// 文件 名 字 : dumpexe.txt (first draft) 


// 注释 : 转 储 包含 可 执行 程序 的 内 存 段 
// 作者 : Alexandre Borges 
// 日 期 : today 


//ΗΗΗΗΗΗΗΗΗΗΗΗΗΗΗΗΗΗΗΗΗΗΗΗΗΗΗΗΗΗΗΗΗΗΗΗΗΗΗΗΗΗΗΗΗΗΗΗΗΗΗΗΗΗΗΗΗΗΗΗΗ 
entry: 


msg " 转 储 包含 可 执行 程序 的 模块 ." 
msg "在 继续 之 前 ， 您 必须 在 EP" 


bc // 清楚 已 有 断 点 

bphwc // 清楚 已 有 硬件 断 点 

bp VirtualAlloc ή 在 VirtualAlloc 设 置 断 点 

erun // 运行 并 将 所 有 的 第 一 个 异常 传递 给 应 用 程序 
core: 

sti // 单 步 执行 

sti // 单 步 执行 

sti // 单 步 执行 

sti // BORG 


sti // BURT 
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x64dbg 
script 
1⁄3 
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cmp eax,0 ۱ sax( 没 有 分 | 

je pcode // 跳 转 到 pcode 标 签 

bpm eax,0,x 4 设置 可 执行 内 存 断 点 ， 如 果 中 断 并 恢复 它 。 
erun /运行 并 将 所 有 的 第 一 个 异常 传递 给 应 用 程序 


// 尝 试 查找 模块 内 存 中 是 否 有 “This program’ FRE. 
findall Sbreakpointexceptionaddress,"546869732070726F6772616D” 


cmp Šresult,0 // 检查 是 否 找 到 
je pcode // #6 pcode Ti S 
Sdumpaddr = mem.base(Sbreakpointexceptionaddress) ”// 找 到 存储 基 址 . 


Ssize = mem.size(Sbreakpointexceptionaddress) // 找 到 存储 的 大 小 
savedata :memdump:,$dumpaddr, $size // 转 储 段 . 

msgyn "Memory dumped! Do you want continue?" // 显 示 会 话 

cmp Sresult,1 // 检 查 选 择 

je scode // 跳 转 到 Scode 标 签 

bc / Н 除 已 有 断 点 

bphwc 清除 已 有 硬件 断 点 


ret E RH 
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x64dbg 


pcode: script 3/3 
msgyn "没有 PE 文件 ! 要 继续 吗 ?" 

cmp Šresult,0 // 检查 我 们 是 否 不 想 继续 

je final 

sti // 单 步 执 行 

erun // 运行 并 将 所 有 第 一 个 异常 传递 给 应 用 程序 

jmp core // 跳 转 到 core 标 签 

scode: 


msg "Let's go to next dump“ // 显示 会 话 


erun // 运行 并 将 所 有 第 一 个 异常 传递 给 应 用 程序 
jmp core // 跳 转 到 core 标 签 

final: 

bc // 清除 已 有 断 点 

bphwc // 清除 已 有 硬件 断 点 


ret // 退出 
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У 混淆 的 目的 是 保护 软件 不 被 逆向 分 析 ， 知 识 产 权 不 做 侵犯 ， 对 我 们 而 言 是 保 
РАНК, Ө 事实 上 , 混 滑 并 不 能 真正 保护 软件 , 但 它 可 以 增加 逆向 人 员 的 


Ё, 


У 因此 , EE EU که‎ lA a] A 531658 SA AY [B] SR ATES o 


У 分 析 恶 意 人 员 用 VBA 和 Powershell 编 写 的 常见 的 用 尸 恶 意 软 件 时 ， 我 们 都 会 看 
到 混 消 的 代码 ， 所 以 这 似乎 没什么 大 不 了 的 。 


ν΄ 我 们 可 以 使 用 IDA Pro SDK 编 写 插件 来 扩展 IDA Pro 的 功能 , 分析 一 些 代码 和 数 
据 流 ， 甚至 自动 解压 奇 怪 的 恶意 文件 。 


v 此 外 , 如 果 您 在 分 析 修 改 后 的 MBR 时 遇 到 问题 ， 那 么 您 甚至 可 以 编写 一 个 加 
载 器 来 加 载 MBR 结 构 并 在 IDA Pro 中 分 析 它 。@ 


у TEME, 有些 打包 程序 和 保护 程序 , 如 VMprotect、Themida、Arxan 和 Agile . 
Net, 使 用 了 现代 的 混 消 扩 术 ， 因 此 代码 的 逆向 过 程 非常 复杂 。 
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V KS BURP S PR 12 64117 TURBO FR IR FH UAE) o 


۷ 原始 IAT 从 原始 代码 中 删除 (通常 适用 于 任何 包装 器 ) o RM, 88 
Themida 这 样 的 包装 商 的 IAT 只 保留 一 个 功能 (TlsSetValue)。 


΄ 他 们 中 几乎 全 部 包含 字符 串 加 


ЕЎ 


Y 它们 保 扩 和 检查 内 存 完整 性 。 因此 , 不 可 能 从 内 存 中 转 储 干净 的 可 执 
行文 件 (例如 ， 使 用 波动 性 )， 因 为 原始 指令 没有 在 内 存 中 解码 。 


ν΄ 指令 (x86/x64 人 代码) 被 虚拟 化 并 转换 为 虚拟 机 指令 (RISC 指 令 )。 


v NET 保护 器 重 命名 类 , 方法 , 域 和 外 部 引用 . 
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У 一 些 包 装 器 可 以 使 用 指令 加 密 内 人 存 作为 额外 的 内 存 层 。 

V 混淆 是 基于 堆 材 的， 因此 很 难 静 态 地 处 理 虚 拟 化 代码 。 

۷ 虚拟 化 代码 是 多 态 的 ， 所 以 有 许多 表示 引用 相同 的 CPU 指令 。 
v 有 很 多 假 的 push 指 倒 。 

Y 有 许多 死 代码 和 无 用 代码 。 

Y pn 

Y 所 有 的 混淆 器 都 使 用 代码 局 平 化 。 


V 打包 器 几乎 没有 有 反 调试 器 和 反 虚 拟 化 技巧 。 AM, 几 个 月 前 , 我 看 到 
了 一 个 不 太 常 见 的 基于 温度 的 anti-vmware 技 巧 ( 稍 后 会 详细 介绍 )。 
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“Virtualizer” 
(bytecodes) 


vm. call 1(opcodes, x) 


int defcon(int x) 


获取 字 节 ， 将 其 解码 为 指 
令 并 将 其 分 派 给 处 理 程序 
“ 使 用 虚拟 机 的 保护 器 引入 模糊 代码 : 
v 上 下 文 切换 组 件 ， 它 将 注册 表 和 标志 信息 “传输 “到 VM 上 下 文 ( 虚 拟 机 )。 相反 的 
aso ш EIUS р ie 合 在 解 包 过 程 中 保持 在 C 结 
构 中 ©) 


< 从 本 机 寄存 器 到 虚拟 寄存 器 的 这 种 “转换 可 以 是 一 对 一 的 ， 但 并 不 总 是 这 样 。 


< 在 虚拟 机 内 部 ， 循 环 是 : 


v 获取 指令 

v 解码 

΄ 找到 指向 指令 的 指针 ， 并 在 处 理 程序 表 中 查找 关联 操作 码 
v 调用 目标 处 理 程序 
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RVA > RVA + 进程 基础 和 
其 它 任务 


A, B, C, … 是 处 理 程序 例如 
-> handler add, handler sub, 
handler push... 
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传统 指令 集 的 操作 码 


13 
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madd | ут зш | мт хог | vm_push mpp .. vo KZ; 
| i i i i | i 


BA 
i i i i i i | 
ES πο 


με TURESE ESTA 


opcode 1 ра 
opcode2 раа func 
opcode3 шд function pointer 3 μα. 
opcode 4 mm function pointe 


| opcode6 шин function pointer б mamme 


|| opcode7 MEM function pointer 7 mamme 


АНЕ 
(可 能 加 密 ) 
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v 逆 回 虚拟 化 和 打包 代码 容易 吗 ?当然 不 是 。 挑 战 可 能 是 巨大 的 
e 


У 记 住 :混淆 是 使 用 任何 技巧 (包括 虚拟 化 ) 将 代码 从 A 转 换 为 B。 
У 要 确定 程序 是 否 虚拟 化 并 不 容易 。 
v 处 理 程序 彼此 独立 ， 通 单 设置 为 : 


v 寄存 器 
У 加 密 密 钥 


v ВИЗ 


V RRC REA MMEEF o 


这 些 处 理 程序 由 VM 调度 器 “启动 ”。 


΄ 指令 的 操作 数 使 用 处 理 程序 提供 的 密 钥 ( 急 始 化 代码 ) 加 窗 。 


< ЋЕ, АВАЛТ, ВЕНЕ. © 


< ЛУВЕМ ور‎ ВУ Sia. 当心 © 


V 你 试 过 打开 IDA ۳۲۵/۵۶1 aas 03 ? 98 — Bis: H8 21 ۳71120 ESTR(3EER 
数 和 数据 )。 


У 最 终 ， 数 据 块 可 以 容纳 VM 处理 程序 .……… 


原始 代码 段 可 以 在 程序 周围 "分割 "和 "分散"( 数 据 和 指令 混合 在 
二 进 制 文件 中 ， 而 不 是 只 有 一 个 指令 块 ) U 


Y 5۳3۳۸ Р ТН RI 2۱/2225, 也 可 以 被 NOP 蔡 换 。@ 当 
然 ， 它 们 稍 后 将 被 封装 器 动态 地 恢复 (重新 插入 )。 


“隐藏 "图 数 代 码 可 以 复制 (memcpy()) 到 VirtualAlloc() 分 配 的 内 存 
中 , @ 当然 ， 代 码 中 必须 有 一 个 补丁 才能 获得 这 些 指令 。 


v 传统 打包 程序 通 单 不 会 虚拟 化 所 有 x86 指 仿 。 


v 在 打包 过 程 之 后 ， 通 帅 会 看 到 虚拟 化 、 本 机 指令 和 数据 之 间 的 


$ЕЯ 人 
/Eb FA o 


v 原生 API 可 以 重 定 向 到 存根 代码 , 存根 代码 将 调用 转发 给 (复制 
的 ) 原 生 DLL( 从 各 自 的 APl)。 


v API 调 用 指令 将 直接 引用 IAT, 通常 使 用 RVA 将 其 转换 为 短 跳 转 ， 
用 于 相同 的 导入 地 址 (“IAT 混 淆 ”) © 


۷ 更 糟 的 是 , API 名 称 可 以 散 列 (如 在 shellcode 中 使 用 的 那样 )。@@ 
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v 顺便 问 一 下 ， 有 多 人 少 虚 拟 化 指令 存在 ? 
v 我 们 是 否 能 够 根据 操作 数 及 其 用 途 ( 内 存 访问 、 算 术 、 通 用 等 
寺 ) 翌 虚拟 指令 分 组 ? 


v 注意 指令 的 主干 ， 将 类 似 的 指令 类 放 在 一 起 (例如 跳 转 指令 、 
直接 调用 、 间 接 调 用 等 )。 


/是 否 基于 (类 似 x86 指 令 的 虚拟 化 指令 ? 


v 处 理 器 标记 的 含义 局 修改 了 吗 ? 


v 从 x86 模 陈 转换 到 “虚拟 化 模式 “的 “关键 指令 “是 什么 ? 


v 记 住 :通常 , 寄存 器 和 标志 (EFLAGS) 在 “跨越 "到 VM 环 境 之 前 保存 , 


到 堆栈 中 。 
v 将 控制 权 转 移 回 x86 环 境 需 要 哪些 负责 任 的 指令 ? 


v 很 多 时 候 , 在 "上下文 转换 ”期间 ， 参 数 做 推送 到 堆栈 上 . © 


这 是 快速 的 建立 一 个 IDA Pro 的 插件 。 从 这 里 下 载 IDA SDK https://www.hex- 
——ÓSHPNMÓ (很 可 能 ， 你 需要 一 个 专业 账 
户 )。 特 其 复制 到 IDA Pro 安 装 目 录 中 的 一 个 文件 夹 (idasdk695/)。 


v f£ Visual Studio 2017 创建 工程 (File > New Ə Create Project Ə Visual C++ > 
Windows Desktop  Dynamic-Link Library (DLL)). 


У 改变 一 些 工程 的 属性 ， 如 这 页 和 下 页 所 示 


4 Configuration Properties ООК Tor options or switches: 


General 
з, 


Additional *using Directories 
Additional Include Directories C:\Program Files (x86)\IDA 6.95\idasdk695\include 
Additional Options 
ASM List Location $(IntDir) 
Language Assembler Output No Listing 
ecompiled Headers Basic Runtime Checks Both (/RTC1, equiv. to /RTCsu 
Output Files Browse Information File $(IntDir) 
Browse Information C++ Language Standard 
Advanced Calling Convention _stdcall (/Gz) 
All Options Common Language RunTime Suppor 
Command Line Compile As Default 


Conformance mode Yes (/permissive-) 
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۷ ΕΒ“ NT ; IDP ” 7۴ 中 。 并 更 改 运行 时 库 “Multi- 


threaded" (MT) (take care: it is NOT /MTd). 


4 Configuration Properties 
General 
Debugging 
VC++ Directories 


Genera 
Optimization 
Preprocessor 
Code Generation 
Language 
Precompiled Headers 
Output Files 
Browse Information 
Advanced 
All Options 
Command Line 
Linker 
^ Manifest Tool 
> XML Document Generator 
^ Browse Information 
> Build Events 
Custom Build Step 
^ Code Analysis 
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ook for options or switches: 


Omit Frame Pointers 

Open MP Support 

Optimization 

Precompiled Header 

Precompiled Header File 
Precompiled Header Output File 
Preprocess Suppress Line Numbers 
Preprocess to a File 

Preprocessor Definitions 

Program Database File Name 
Remove unreferenced code and data 
Runtime Library 

SDL checks 


Securit 


v Check 
Show Includes 

Smaller Type Check 

Spectre Mitigation 

Struct Member Alignment 
Support Just My Code Debugging 
Suppress Startup Banner 

Treat Specific Warnings As Errors 
Treat Warnings As Errors 


No (/Oy-) 


Disabled (/Od) 
Not Using Precompiled Headers 
stdafx.h 
$(IntDir)$(TargetName).pch 
No 
No 
NT ; ТОР ; IMBCS;%(PreprocessorDefinitions); 
$(IntDir)vcS(PlatformToolsetVersion).pdb 
Yes (/Zcinline) 
Multi-threaded (/MT) 
Yes (/sdl) 
Disable Security Check (/GS-) 
No 
No 
Disabled 
Default 
Yes (/JMC 
Yes (/nologo) 


No (/WX- 
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添加 ic 


(from C:\Program Files (x86)\IDA 6.95\idasdk695\lib\x86 win vc 32) 


到 附加 依赖 项 及 其 文件 夹 到 附加 库 目录 。 


添加 


4 Configuration Properties 
General 
Debugging 
VC++ Directories 
> C/C++ 
Linker 
Genera 
Input 
Manifest File 
Debugging 
System 
Optimization 
Embedded IDL 
Windows Metadata 
Advanced 


Command Line 
> Manifest Tool 
> XML Document Generator 
Browse Information 
> Build Events 
Custom Build Step 
> Code Analysis 
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到 附加 选项 . 


Look for options or switches: 


a 
a 


m 


| 
Add Module to Assembly 


Additional Dependencies 
Additional Library Directories 
Additional Manifest Dep 
Additional Options 
Allow Isolation 
Assembly Link Resource 
Base Address 

CLR Image Type 

CLR Thread Attribute 
CLR Unmanaged Code Check 
Create Hot Patchable Image 
Data Execution Prevention (DEP) 
Debuggable Assembly 

Delay Loaded Dils 

Delay Sign 

Driver 

Embed Managed Resource File 
Enable COMDAT Folding 
Enable Incremental Linking 
Enable Large Addresses 


Enable User Account Control (UAC) 


Output File 
The /OUT option overrides the default name and location of the program that the linker creates. 


endencies 


ida.lib;kernel3 2.lib;user32.lib;gdi32.lib;winspool.lib;comdlg3 2.lib;advapi: 
C:\Program Files (x86)\IDA 6.95\idasdk695\lib\x86_win_vc_32 


/EXPORT:PLUGIN %(AdditionalOptions) 


Yes 


Default image type 


Yes (/NXCOMPAT) 


Not Set 


Yes (/INCREMENTAL) 


Yes (/MANIFESTUAC:) 
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1 sfinclude <ida.hpp> 

2 #include <idp.hpp> 

3 #include <loader.hpp> X 

4 #include «allins.hpp» TETARA, © 

5 #include «strlist.hpp» 

6 #include <search.hpp> 

7 

8 

9 sint ΙΡΑΡ init —— . 初始 化 
10 
1 | | return PLUGIN keep; FE SNOB BIE КЕРУЕН. 
12 ] 
13 
14 avoid IDAP term(void) --- 清除 任务 
15 í 
16 
17 H 
18 
19 void IDAP run(int arg) —— 当 用 户 激活 插件 时 调用 的 函数 。 
20 1 
21 | msg("Hello DEFCON CHINA! we love IDA Pro :)\n\n"); 
22 
23 | char defcon [MAXSTR] ; 
24 string info t strinfo; 
25 char s[] » "[a-zO- IJEN. 141, } [a-zA-Z0-9_-]+[\.]{1, }[a-z]{2,}"; 
26 auto last = BADAD 
5 PIC лэг [ _ 简单 (和 不 完整 ) 的 URL 正 则 表达 式 。 

= 1; Ө 
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Ww 
° 
0- 


for (int x = 0; x «get. strlist qtyO; x++) 4 它 从 “strings view” 中 获取 


get_strlist_item(x, &strinfo); цн ay من‎ A 数量。 
33 5 if Cstrinfo. length < sizeof(defcon)) { 子 符 串 的 数量 


get many bytes(strinfo.ea, defcon, strinfo. length); 


得 到 string 
37 в 1 


0; 
find text(strinfo.ea, 0, 0, s, SEARCH. REGEX) ; 


® 
m 
! II 


A 
= 
m 
- 
-h 


(ea == strinfo.ea) { 
42 msg("Address Ox%x - RL Χά: %s\n", strinfo.ea, urlcount, defcon); 
43 urlcount++; 


45 } | 它 检 查 字 符 串 是 否 与 URL regex 匹 


46 } 
47 } Rc. 


49 return; 如 果 检 查 , 所 以 ea == strinfo.ea. 
51 } © 


53 char IDAP_comment[] = "The simplest possible plugin"; Ë ус 
54 | char IDAP_help[] = "DEFCON plugin"; 插件 将 被 ALT-x 组 合 激活 . Ө 
55 char IDAP_name[] = "DEFCON plugin"; 

56 char IDAP hotkey[] = "ALT-X"; 


58 plugin t PLUGIN - 
59 af 
60 IDP_INTERFACE_VERSION, 


62 IDAP_ init, 


63 IDAP_term, 
64 IDAP run 插件 结构 


65 IDAP. comment, 
66 IDAP help, 
67 IDAP_name, 

68 IDAP_hotkey 
69 1; 
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Function name 


sub 99F8D000 
sub 99F8D010 
sub 99F8DOFO 
sub. 99F8D1A0 
sub 99F8D380 
sub. 0 
sub. 99F8D430 
sub 99F8D4A0 
sub. 99F8D5A0 
sub 99F8D650 
sub 99F8D680 
sub. 99F8D6A0 


; File Name : C: XUMsXdriuer.99f8c000.sus 


; Format : Portable executable for 80386 (PE) 
; Imagebase : 99۳ 000 

; Timestamp ЧЕЧЗЯАСС (Thu Aug 11 10:11:24 2011) 
; Section 1. foirtual address 00001000) 


; Virtual size : 00009890 ( 39066.) 
; Section size in file : 00009800 ( 39424.) 
; Offset to raw data for section: 00000400 

; Flags 60000020: Text Executable Readable 

; Alignment : default 


include uni.inc 


.model flat‏ ی و 


sub 99F8D830 
sub 99F8D910 
sub 99F8D950 
sub 99F8D970 
ги си 1 
Line 1 of 206 


ΕΙ Output window 


00000400| 99F8D000: sub. 99F8D000| (Synchronized with Hex View-1)| 


Hello DEFCON CHINA! We love IDA Pro :) 


Address 08 URL 
Address Ox99f990eb URL 
Address Ox99f990f6 URL 
Address 0x99f991045 URL 
Address 0x99f99112 URL 
Address 0x99f99120 URL 


ntp2.usno.nauy.mil 
ntp.adc.am 
tock.usask.ca 
ntp.crifo.org 
ntpl.arnes.si 
ntp.ucsd.edu 
ntp.duckcorp.org 
ммо .Nist .gou 
clock.isc.org 
time.windous.com 
time2.one4vision.de 
time.cerias.purdue.edu 
: clock. fihn.net 


在 此 恶意 驱动 程序 中 找到 url。@ 


Address 0x99f9912d URL 
Address 0x99f9913e URL 
Address 0x99f991b URL 
Address 0x99f99159 URL 
Address 0x99f9916a URL 
Address 0x99f9917e URL 
Address 0x99f99195 URL 


о دد ډه‎ O Ql + @ N — 


— 


ALT - X 
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У IDA 处 理 器 模块 仍然 是 处 理 虚 拟 包装 程 


序 的 最 佳 方法 之 一 。 > 解码 指令 并 用 结果 填充 


结构 (ana. 
v 请 您 记 住 关 于 如 何 编写 IDA 处 理 器 模块 шиш 


的 几 个 要 点 (正如 hex - ray 中 的 Ilfak 所 提 


到 的 ): 
> 人 处理 分 析 程 序 (amu.cpp) 
解码 的 命令 
写 一 个 处 理 器 > 创建 交叉 引用。 
_ v 修改 (或 编写 ) > 跟踪 寄存 器 内 容 。 
处 理 器 模 模拟 器 
块 > 跟踪 寄存 器 内 容 。 


УЗ-Т 


outputter > 将 输出 写 入 一 个 已 处 
理 的 输出 ， 其 中 包含 
前 级 、 注 释 和 xref 
V IDA Pro SDK 文 档 和 示例 总 是 很 棒 . © (out.cpp) 
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۷ für ix86eig SEIR VME IV MEE TES UAE LOREAL 
v ۳2 ۳۵۱۷۱/۱۶۵ E S Za RD (35 хог 'ed) 
Y 正如 我 前 面 提 到 的 , 通常 只 有 一 个 x86 指 令 对 应 许多 VM 指令 代码 。 


V 有 两 个 堆栈 :一 个 来 自 x86 领 域 ， 另 一 个 来 目 VM 领 域 。 
Y 来 目 虚 拟 化 上 下 文 的 堆栈 可 能 会 同上 增长 ， 这 与 x86 标 准 不 同 。 


Y 有 时 候 ， 保 护 者 不 会 将 x86 上 下 文 复制 到 虚拟 机 中 。 在 这 种 情况 下 ， 
已 更 愿意 保存 上 下 文 (注册 内 容 + 标 忘 ) 以 便 稍 后 使 用 。 
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v 找 出 VM 指 邻 的 大 小 很 有 趣 ， 我 们 可 以 将 其 放 入 表示 加 密 密 
钥 、 数 据 、RVA( 位 置 )、 操 作 码 (类 型 ) 等 的 结构 中 。 


v 由 于 自 定义 虚拟 化 包装 器 没有 针对 每 个 x86 指 令 的 虚拟 化 指 
令 ， 所 以 建议 找到 针对 本 机 x86 指 令 的 处 理 程序 ( 非 虚 拟 化 指 


令 )) 


У 通常 , 非 虚拟 化 指令 的 处 理 程序 会 在 短 时 间 内 从 VM 环 境 中 退 
出 ， 执 行 x86 指 令 并 返回 到 虚拟 机 环境 。 


< 在 本 例 中 , x86 指 合 也 与 虚拟 化 指令 一 起 馈 加 密 和 压缩。 


< 常量 展开 :模糊 处 理 程序 使 用 的 一 种 技术 ， 它 用 生成 相同 结果 常量 值 
的 一 组 代码 来 蔡 换 内 容 。 


v 基于 模式 的 混淆: 用 一 组 等 价 指令 交换 一 条 指令 。 
У HARAR. 


V 反 VM 技 术 : 防 止 恶 意 软件 样本 在 VM 中 运行 。 


΄ 死 代码 (垃圾 代码 ): 这 种 技术 是 通过 插入 代码 来 实现 的 ， 这 些 代码 的 
结果 将 在 下 一 行 代码 中 被 覆 荔 ， 或 者 更 糟 的 是 ， 它 们 将 不 再 被 使 


0 


< (CASS BIEN fa] —El ۵۵2۱0 ЛУЫ] (ЕД ( T Sa fe FH) e 
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< 间接 控制 1: 调用 指令 ?> 材 指 针 更 新 返回 跳 过 一 些 垃圾 代码 
后 的 调用 指令 (RET x). 


v 间接 控制 2: 恶意 软件 引发 异常 SAAC ANAS > 新 的 指 
172, 


v 135155: ао DREADS Лл), BERR - 
SBR νι ο ХЕЕЕ, BE, MAT ` 
死 跳 转 。 U 

΄ 反 调 试 : 使 用 复杂 的 技术 使 分 析 变 慢 


v 多 态 性 : 它 由 自修 改 代码 (如 shell 代 码 ) 和 加 密 资源 (类 似 于 大 多 数 
恶意 软件 样本 ) 生 成 。 


v 调用 堆栈 处 理 : 通过 使 用 由 ret 指 令 组 成 的 指令 技巧 更 改 堆 栈 
ΥΠ, 从 而 隐藏 真实 的 ret。 


v 是 否 有 可 能 消除 虚拟 化 指令 的 混 消 ? 是 的 , RI ELSE FR 5 12873 
蔡 换 (类 似 于 Metasm 中 的 回溯 特性 , 但 不 相等 )。 


V 此 外 , 从 号 方程 系统 是 另 一 种 很 好 的 方法 。 (Metasm 和 
MIASM!) 


۷ 有 很 多 很 好 的 插件 , 比如 Code Unvirtualizer, VMAttack, 
VMSweeper 等 等 ， 它 们 可 以 用 来 处 理 简 单 的 虚拟 化 问题 。 


< 使 用 简单 而 有 效 的 隐 与 术 概 念 作为 蔡 换 盒 (s box), 2 
化 器 的 一 些 改进 已 经 出 现 。 


z 
۳ 


΄ 代码 流 图 局 平 化 : 


v ”该 技术 用 于 隐藏 程序 的 | v 这 种 方法 提出 了 两 
实际 控制 流 。 | 个 反 向 问题 :从 CISC 
"e 3 «νὰ 
сайын ух 2۳ L 思想 是 通 ы ДААМУМ J oo 
۱۵۷۸۸۱۵۵1۲8۳ ” ΒΗ τραμ 存 器 转换 为 专用 寄 
中 断 控制 流 ， 在 一 系列 шэг 处理 程序 ， 存 器 。 
开关 用 例 语句 中 转换 一 处 理 程序 将 更 新 指 
流 . 令 指 针 ， 使 之 指向 下 一 y эж 
个 要 执行 的 处 理 程序 的 CFG 只 适用 于 特定 
值 (虚拟 化 流 控制 )。 的 功能 


< 通常 有 一 个 调用 存根 ， 
已 完成 从 本 机 指令 到 虚 
拟 化 指令 的 转换 。 
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include «stdio.h» 


Loading libs 


int main (void) 


۱ aborges = 0 
int aborges = 0; 
while (aborges < 30) 
{ 
printf(“%d\n”, aborges); mise) 
aborges++; aborges++ 
} 
return О 
return О; 


j 
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loading libs 


DEF CON CHINA 1.0 (2019) 


aborges = 0 


20 Л rb. 
AW 


aborges « 


у 损失 的 性 能 
v 容易 识别 CFG 的 扁平 化 


printf 


aborges++ 
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原始 程 攻 


DEF CON CHINA 1.0 (2019) 


mE 


; int __cdecl main(int argc, const char wwargu, const char xxenup) 
public main 
main proc near 


uar Ч: dword ptr -4 


push 
тоу ; 
sub , 10h 
шоу [ *uar 5H], 9 
jmp short loc_675 
Y 
loc 515: 
cmp [ *uar Ч), 1Dh 
jle short loc_65B 
Y 
mov ‚ 0 
loc_65B: leaue 
mou 1 *uar ^4] retn 
που ; main endp 
lea , format 
που 219 
са11 -printf 
add [ *uar Ч, 1 
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V 用 于 代码 模糊 处 理 的 obfusator -llvm 是 一 个 非常 好 的 项 目 。 为 了 安装 它 建 议 


先 添 加 一 个 交换 文件 (因为 链接 阶段 ): 


v fallocate -| 8GB /swapfile 

ν΄ chmod 600 /swapfile 

۷ mkswap /swapfile 

ν΄ swapon /swapfile 

Y swapon --show 

ν΄ apt-get install Мт-4.0 

۷ apt-get install gcc-multilib (install gcc lib support to 32 bit) 

ν΄ git clone -b Ilvm-4.0 https://github.com/obfuscator-Ilvm/obfuscator.git 

ν΄ mkdir build ; cd build/ 

У cmake -DCMAKE BUILD TYPE-Release -DLIVM INCLUDE TESTS-OFF ../ 
obfuscator/ 

ν΄ make -j7 


У 可 能 会 用 到 : 


v ./build/bin/clang alexborges.c -o alexborges -mllvm -fla 
Y .build/bin/clang alexborges.c -m32 -o alexborges -mllvm -fla 
ν΄ .build/bin/clang alexborges.c -o alexborges -mllvm -fla -mllvm -sub 
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۱3۳/۳۷393 ۸۱۵۲۱335 ANY 30۷۸۸۱۷۸۸ — 5390086 ۷ 
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۱3۳/۳۷393 ۸۱۵۲۱335 ANY 30۷۸۸۱۷۸۸ - 5390086 ۷ 
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a 
ш 
т 
Q 
a 
< 
ш 
N 
ul 
a 
> 
E 
a 
2 
O 
ш 
ә 
Q 
= 
< 
ш 
a 
< 
z 
σι 
< 
z 
| 
N 
ul 
o 
a 
o 
a 
ш 
a 
[e] 
= 
< 
>< 
ш 
= 
< 
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int | cdecl main(int argc, const char xxargu, const char »xenup) 
( 

signed int v3; // 5 

int v4; // 58 

__int64 v6; // [rsp+0h] [rbp-20h]@0 

signed int ur; // [rspt14h] [rbp-Ch]@1 

signed int v8; // [rsp*18h] [rbp-8h]@1 


Ө; 

2118196251; 

while ( ۷۲ t= -803096687 ) © 

( 7 
if ) uf == 900748651 ( 
( | 

u} = printf( ZdXn", (unsigned int)u8**, enup, 96, 7317960004152066048LL) ; 

07 = 2118196251; 2 

LODWORD(v6) = оч; | 5 


98 
Uf 


) 


else 


HIDUORD(u6) = u? - 2118196251; 
if ( u7 == 2118196251 ) 


u3 = -803096687; 2 

if ) v8 > 30 ) x 
u3 = 900748651; 

uf = U3; 


.text:00401000 loc. 401000: 


.text:00401000 
.text:00401001 
.text:00401003 
.text:00401005 
.text:00401007 


.text:0040100D 


.text:0040100D loc 401000: 


.text:0040100D 


Хехі:00401000 
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^ = = 


га УЗ 


push 
mov 
xor 
jz 
jnz 


jmp 


WAL 3Η 


; CODE XREF: _main+Fp 


ebp 

ebp, esp 

eax, eax 

short near ptr loc_40100D+1 
near ptr loc_40100D+4 


; CODE XREF: .text:00401005j 
; text:00401007]j 


near ptr 0D0A8837h 
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解密 


shellcode 


DEF CON CHINA 1.0 (2019) 


seg888: 66666224 
seg888: 00000226 
seg 666: 6666622C 
: 66666231 
: 66666231 
: 66666231 
: 66666231 
: 66666231 
: 66666231 
: 66666231 
: 66666231 
: 66666231 
: 66666232 
: 86666233 
: 66666237 
: 66666239 
:8888823R 
:8088823R 
:8080823R 
:80808823C 
:8888823D 
: 66666235 
: 66666241 
: 66666244 
: 66666246 
: 66666248 
: 66666248 
: 66666248 
: 00009024B 
: 6666624D 
: 888802 4E 


lodsb 

mou dl, al 
sub dl, 
shl dl, 


lodsb Decryption 


sub al, 
add al, dl 
stosb 

dec j 
jnz short 
retn 


call 


46h 
loc_364 


SUBROUT 


proc near ; CODE XREF: 


loc_23A ; CODE XREF: 


loc_24B 
6Dh 


loc_23A 


loc_24B ; CODE XREF: 


sub 


instructions © 


281151] 
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00401040 
00401045 
00401046 
00401047 
00401048 
00401049 
0040104A 
0040104B 
0040104C 
0040104D 
0040104E 
0040104F 
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call + $5 
pop ecx 
inc ecx 
inc ecx 
add ecx, 4 
add ecx, 4 
push ecx 
ret 

sub ecx, 6 
dec ecx 
dec ecx 


jmp 0x401320 


“ 调用 堆栈 操作 : 


۷ 你 知道 这 里 发 生 了 什 
么 吗 ? © 
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YAHIYVASAY ۸۱۵۲۱335 ANV 30۷۸۸۱۷۸۸ — 9390005 ۷ 


۱۷۱ ۷۱ 
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1 


add eax, ecx ——— add еах,есх ——ə— 


2 


sub eax, B9 


add eax, B9 


3 


sub eax, B9 


sub eax, 86 
add eax,ecx 
add eax, 86 
push edx 


mov edx, 42 ---------5 


inc edx 

dec edx 

add edx, 77 
add eax, edx 
pop edx 


如 何 逆向 混淆 代码 ， 从 阶段 4 回 到 阶段 1? © 
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O V ер M R - 
| sub eax, 


ebx 
pop ebx 

sub eax, 55 
sub eax, 32 
add eax, ecx 
add eax, 50 
add eax, 37 
push edx 
push ecx 
mov ecx, 49 
mov edx, ecx 
pop ecx 

inc edx 

add edx, 70 
dec edx 

add eax, edx 
pop edx 
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۷ METASM 作为 反 汇 编 器 ， 汇 编 器 ， 调 试 器 ， 编 译 器 和 链接 器 。 
v 主要 特点 : 


Y Ruby 语 言 编写 支持 以 下 文件 格式 : 
= 7 
d UT - а — PE/COFF 
۷ SILA FR: ν΄ Raw (shellcode) 
ν΄ Intel ۱۵۸32 (16/32/64 bits) 
ν΄ PPC 
Y MIPS 


root@kali:~/programs# git clone https://github.com/jjyg/metasm.git 
root@kali:~/programs# cd metasm/ 
root@kali:~/programs/metasm# make 
root@kali:~/programs/metasm# make all 


DE SS 


v 将 以 下 行 包 含 到 .bashrc 文 件 中 , 以 指示 Metasm 目 录 安 装 : 
Y export RUBYLIB=SRUBYLIB:~/programs/metasm 
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Jani сору 党 based on metasm.rb ne 
| and Bruce Dang code. 


require "metasm" 
include Metasm 


mycode = Metasm::Shellcode.assemble(Metasm::1a32.new, ««EOB) 


entry: 
push ebx 
mov ebx, 9 
sub eax, ebx 
pop ebx 
sub eax, 0x55 
sub eax, 0x32 
add eax, ecx 
add eax, 0x50 
add eax, 0x37 
push edx 
push ecx 
mov ecx, 0x49 
mov edx, ecx 
pop ecx 
inc edx 
add edx, 0x70 
dec edx 
add eax, edx 
mp eo 插入 这 条 指令 是 为 了 使 eax 寄 存 器 的 
EOB 计算 更 容易 . O 
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addrstart - 0 
asmcode - mycode.init disassembler 
asmcode.disassemble(addrstart) 从 start 开 始 初 始 化 和 反 汇 
defcon di = asmcode.di at(addrstart) 编 代 码 。 

defcon = defcon di.block 

puts "\n<!!!> DEF CON China 1.0:\n " 

puts defcon.list 


列 出 汇编 代码 。 


defcon.list.each{ | aborges | 
puts "Nn<!!!> #{aborges.instruction}" 
back = aborges.backtrace binding().———— 初始 化 回溯 引擎. 
۷ 95 6۷. 5 
k back.keys 
j = k.zip(v) 
puts "DEF CON China data flow follows Бе1ом: \п" 
j.each do |mykeys, myvalues| 


puts " Processing: #{mykeys} ==> £(myvalues)" 


if aborges.opcode.props[:setip] 
puts "\nDEF CON China control flow follows below:Wn" 
puts " >>> #{asmcode.get_xrefs_x(aborges)}" 
end 
end Е 
} 确定 从 那里 返回 的 最 后 一 条 指令 是 
ЖН, O 
addrstart2 = 0 
851160062 = mycode.init disassembler 
asmcode2.disassemble(addrstart2) 
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dd = asmcode2.block at(addrstart2) 
final = asmcode2.get xrefs x(dd.list.last).first«— —— М.Е-4 НЯН , 
puts "\n[+] final output: #{final}" 


values = asmcode2.backtrace(final, dd.list.last.address, {:log => backtracing log = [] , 
:include start => true}) 


backtracing_log.each{|record| 
case type = record.first 记录 回溯 指令 的 序 


when :start 2 
record, expression, addresses - record M 
puts "[start] Here is the sequence of expression evaluations #(expressi 
on) from Ox#{addresses.to_s(16)}\n" 


when :di 
record, new, old, instruction - record 
puts "[new update] instruction #{instruction},\n --» updating expression 
once again from £(old) to #{new}\n" 


end 


} 


effective = backtracing_log.select{|y| y.first==:di}.map{|y| y[3]}.reverse 
puts "\nThe effective instructions are:\n\n" 
puts effective 


只 显示 有 效 的 指令 ， 这 真 的 可 以 改 
变 最 终 的 结果 。 


DEF CON CHINA 1.0 (2019) 50 


ALEXANDRE BORGES — MALWARE AND SECURITY RESEARCHER 


root@kali:~/programs/metasm# ./defcon.rb 


«1!!!» DEF CON China 1.0: 


0 push ebx 

1 mov ebx, Ob9h 
6 sub eax, ebx 
8 
9 


sub eax, 55h 


28h 
29h 


sub 
add 
add 
add 


eax, 32h 
eax, ecx 
eax, 50h 
eax, 37h 


push edx 
push ecx 


mov 
mov 
рор 
іпс 
айа 
дес 
айа 
Eon 
Jmp 


ecx, 49h 
edx, ecx 
ecx 
edx 
edx, 70h 
edx 
eax, edx 
edx 
eax 


<!!!> push ebx 
DEF CON China data flow follows below: 
Processing: esp ==> esp-4 
Processing: dword ptr [esp] ==> ebx 


<!!!> mov ерх, Ob9h 


记 住 :这 是 混淆 代码 。 © 


DEF CON China data flow follows below: 


Processing: ebx ==> 0 
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«!!!» sub eax, ebx 
DEF CON China data flow follows below: 
Processing: eax --» eax-ebx 
Processing: eflag z (((eax&Offffffffh)-(ebx&Offffffffh))&Offffffffh)-- 
Processing: eflag s ((((eax&Offffffffh)-(ebx&Offffffffh))&Offffffffh)»»1fh)!-0 
Processing: eflag c » (eax&Offffffffh)«(ebx&Offffffffh) 
Processing: eflag o > ((((eax&Offffffffh)»»1fh)!'z0)--(!'!(((ebx&Offffffffh)»»51fh)!20))) 
&&((((eax&Offffffffh)»»1fh)!z0)!'-(((((eax&Offffffffh)-(ebx&Offffffffh))&Offffffffh)»»1fh 
)!=0)) 


۷ 


H H H I 
y "n m M 
у 


<!!!> рор еһх 

DEF CON China data flow follows below: 
Processing: esp --» esp+4 
Processing: ebx --» dword ptr [esp] 


«!!!» sub eax, 55h 

DEF CON China data flow follows below: 
Processing: eax --» eax-55h 
Processing: eflag z (((eax&Offffffffh)-((55h)&Offffffffh))&Offffffffh)-- 
Processing: eflag s ((((eax&Offffffffh)-((55h)&Offffffffh))&Offffffffh)»2-1fh)!-0 


اا Wo H MH‏ سب 
v ۷‏ ۷ 


= | | H i 


Processing: eflag c (eax&Offffffffh)«((55h)&Offffffffh) 

Processing: eflag o > ((((eax&Offffffffh)»»1fh)!'z0)--2(!((((55h)&Offffffffh)»»1fh)!-z0) 
))&&((((eax&Offffffffh)»»1fh)!20)!-(((((eax&Offffffffh)-((55h)&Offffffffh))&Offffffffh)» 
»1fh)!z0)) 


«!!!» sub eax, 32h 
DEF CON China data flow follows below: 
Processing: eax --» eax-32h 
Processing: eflag z ==> (((eax&Offffffffh)-((32h)&Offffffffh))&Offffffffh)-- 
Processing: eflag s ==> ((((eax&Offffffffh)-((32h)&Offffffffh))&Offffffffh)2-21fh)!-0 
Processing: eflag c ==> (eax&Offffffffh)«((32h)&Offffffffh) 
Processing: eflag о ==> ((((eax&0ffffffffh)>>1fh) !=0)==(!((( (32h) &ӨҒҒҒҒҒҒҒҒһ ) >>1Ғһ) !=0) 
))&&((((eax&0ffffffffh)>>1fh)!=0)!=(((((eax&0ffffffffh)-((32h)&Offffffffh))&0ffffffffh)> 
>1fh)!=0)) 


> 了 II | ا ا‎ 
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[+] final output: eax 


[start] Here is the sequence of expression evaluations 


[new 
--» 
[new 
--> 
[new 
--> 
[new 
€ 
[new 
=--> 
[new 
--» 
| пеу/ 
--» 
[new 
--> 
[new 
--> 
[new 
--» 
[new 
--> 
[new 
--» 
[new 
--» 


update] instruction 
updating expression 
update] instruction 
updating expression 
update] instruction 
updating expression 
update] instruction 
updating expression 
update] instruction 
updating expression 
update] instruction 
updating expression 
update] instruction 
updating expression 
update] instruction 
updating expression 
update] instruction 
updating expression 
update] instruction 
updating expression 
update] instruction 
updating expression 
update] instruction 
updating expression 
update] instruction 
updating expression 
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26h add eax, edx, 


eax from 0x29 


once again from eax to eax+edx 


25h dec edx, 


once again from eax+edx to еах+ейх -1 


22h add edx, 70h, 


once again from еах+ейх-1 to eax+edx+6fh 


21h inc edx, 

once again from eax+edx+6fh 
leh mov edx, ecx, 

once again from eax+edx+70h 
19h mov ecx, 49h, 

once again from eax+ecx+70h 
l4h add eax, 37h, 

once again from eax+0b9h to 
lih add eax, 50h, 

once again from eax+0f0h to 
Ofh add eax, ecx, 

once again from eax+140h to 
Och sub eax, 32h, 

once again from 
9 sub eax, 55h, 
once again from 
6 sub eax, ebx, 
once again from 
l mov ebx, Ob9h, 
once again 


to eax+edx+70h 


to eax+ecx+70h 


to eax+0b9h 


eax+0f0h 


eax+140h 


eax+ecx+140h 


eax+ecx+140h to еах+есх+10еһ 


eax+ecx+10eh to eax+ecx+0b9h 


eax+ecx+0b9h to eax-ebx-*ecx-*0b9h 


from eax-ebx+ecx+0b9h to еах+есх 
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The effective instructions are: 


1 mov ерх, Ob9h 
6 sub eax, ebx 


9 sub eax, 


Och 


sub 
add 
add 
add 
mov 
mov 
inc 
add 
dec 
add 


eax, 
eax, 
eax, 
eax, 
ecx, 
edx, 
edx 

edx, 
edx 

eax, 
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55h 


32h 


输出 来 自 backtracing log.select 命令 (ТЕЛ 
中 ) 
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v 仿真 始终 是 解决 实际 逆向 工程 问题 的 一 种 优秀 方法 ， 笠 运 的 是 ， 我 们 有 uEmu， 还 
可 以 使 用 Keystone Engine 汇编 器 和 Capstone Engine 反 汇 编 器 。@ 


ν΄ Keystone Engine 的 作用 是 汇编 和 : 


۷ 支持 x86、Mips、Arm 等 多 种 架构 。 


ν΄ 


它 是 用 C/ C++ 实现 的 ， 并 绑 定 到 Python、Ruby、Powershell 和 C#( 以 及 其 他 语言 )。 


v 安装 Keystone: 


ο... м м м ыыы есе 


root@kali:~/Desktop# wget https://github.com/keystone-engine/keystone/archive/0.9.1.tar.gz 
root@kali:~/programs# cp /root/Desktop/keystone-0.9.1.tar.gz . 

root@kali:~/programs# tar -zxvf keystone-0.9.1.tar.gz 

root @kali:~/programs/keystone-0.9.1# apt-get install cmake 
root@kali:~/programs/keystone-0.9.1# mkdir build ; cd build 
root@kali:~/programs/keystone-0.9.1/build# apt-get install time 
root@kali:~/programs/keystone-0.9.1/build# ../make-share.sh 
root@kali:~/programs/keystone-0.9.1/build# make install 

root @kali:~/programs/keystone-0.9.1/build# ldconfig 

root @kali:~/programs/keystone-0.9.1/build# tail -3 /root/.bashrc 

export PATH=SPATH:/root/programs/phantomjs-2.1.1-linux-x86_64/bin:/usr/local/bin/kstool 
export RUBYLIB=SRUBYLIB:~/programs/metasm 

export 10 LIBRARY. PATH-SLD LIBRARY. PATH:/usr/local/lib 
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#include <stdio.h> 
#include «keystone/keystone.h» 


#define DEFCON "push ebx; mov ebx, 0xb9; sub eax, ebx; pop ebx; sub eax, 0x55; sub eax, 
0x32; add eax, ecx; add eax, 0x50; add eax, 0x37; push edx; push ecx; mov ecx, 0x49; m 
ov edx, ecx; pop ecx; inc edx; add edx, 0x70; dec edx; add eax, edx; pop edx" 


d main(int argc, char **argv) | 来 自 原始 模糊 代码 的 指 
zs 


ks engine *keyeng; 

ks err keyerr - KS ERR ARCH; 
size t count; 

unsigned char *encode; 
size t size; 


keyerr = ks open(KS ARCH X86, KS MODE- 创建 一 个 keystone 引擎 
if (keyerr !- KS ERR OK) í 

printf("ERROR: A fail occurred while calling ks open(), quit\n"); 

return -1; 


} 


if (ks_asm(keyeng, DEFCON, 0, &encode, &size, &count)) 
printf("ERROR: A fail has occured while calling ks_a$m() with count = %lu, erro 
r code = *uMn", count, ks errno(keyeng)); 
) else ( 


size t i; 使 用 keystone 引 擎 汇编 我 

"04154 

for (i = 0; i < size; i++) í 们 的 指令 。 
printf("%02x ", encode[i]); 

} 


} 
ks free(encode); 释放 内 存 ， 关闭 
5|&. 


ks close(keyeng); 


return 0; 


) 
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root@kali:~/programs/defcon# 
root@kali:~/programs/defcon# more Makefile 
.PHONY: all clean 


KEYSTONE LDFLAGS = -lkeystone -lstdc++ -lm 


all: 
${CC} -o defcon2019 defcon2019.c ${KEYSTONE_LDFLAGS} 


clean: 

rm -rf *.o defcon2019 
root@kali:~/programs/defcon# 
root@kali:~/programs/defcon# make 
cc -0 defcon2019 defcon2019.c -lkeystone -lstdc++ -lm 
root@kali:~/programs/defcon# 
root@kali:~/programs/defcon# ./defcon2019 
53 bb b9 00 00 00 29 d8 5b 83 e8 55 83 e8 32 01 c8 83 c0 50 83 cO 37 52 51 b9 49 
00 00 00 89 ca 59 42 83 c2 70 4a 01 dO 5a root@kali:~/programs/defcon# 
root@kali:~/programs/defcon# 
root@kali:~/programs/defcon# ./defcon2019 | xxd -r -p - > defcon2019.bin 
root@kali:~/programs/defcon# 
root@kali:~/programs/defcon# hexdump -C defcon2019.bin 


00000000 53 bb 59 00 00 00 29 48 5b 83 e8 55 83 e8 32 01 |S..... ).[..U..2.| 
00000010 68 83 c0 50 83 сө 37 52 51 b9 49 00 00 00 89 ca |...P..7RQ.I..... | 
00000020 59 42 83 c2 70 4a 01 d0 58 YB. .pJ. .Z] 
00000029 


root@kali:~/programs/defcon# - 
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finclude <stdio.h> 
#іпс1иде <inttypes.h> 
£include <capstone/capstone.h> 


#define CODE "\x53\xbb\xb9\x00\x00\x00\x29\xd8\x5b\x83\xe8\x55\x83\xe8\x32\x01\xc 
8\x83\xcO\x50\x83\xcO\x37\x52\x51\xb9\x49\x00\x00\x00\x89\xca\x59\x42\x83\xc2\x70 
\x4a\x01\xd0\x5a" 


int main(void) 

( 
csh cs_handle; 
cs_insn *instruction; 
size_t count; 


if (cs_open(CS_ARCH_X86, CS_MODE_32, &cs_handle) != CS_ERR_OK) 
return -1; 
count = cs_disasm(cs_handle, CODE, sizeof(CODE)-1, 0x0001, 0, &instructio 
n); 
if (count > 0) í 
size_t j; 
for (j = 0; j < count; j++) í 
printf ("0x%"PRIx32":\t%s\t\t%s\n", instruction[j].address 
, instruction[j].mnemonic, instruction[j].op_ str); 


cs free(instruction, count); 
) else 
printf("Error: It's happened an error during the disassembling \п 


"); 
cs close(&cs handle); 


return 0; 


) 
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root@kali:~/programs/defcon/capstone# more Makefile 
.PHONY: all clean 


CAPSTONE LDFLAGS = -lcapstone -lstdc++ -lm 


all: 
$(CC) -o defcon2019 rev defcon2019 rev.c $(CAPSTONE LDFLAGS] 


clean: 

rm -rf *.o defcon2019 rev 
root@kali:~/programs/defcon/capstone# 
root@kali:~/programs/defcon/capstone# make 
cc -o defcon2019 rev defcon2019 rev.c -lcapstone -lstdc++ -lm 
root@kali:~/programs/defcon/capstone# 
root@kali:~/programs/defcon/capstone# ./defcon2019 rev 


0x1: push ebx 

0x2: mov ерх, Oxb9 

0x7: sub eax, ebx 

0x9: pop ebx 

0xa: sub eax, 0x55 

0xd: sub eax, 0x32 

0x10: add eax, ecx 

0x12: add eax, 0x50 

0x15: add eax, 0x37 OCapstone БОГ НЫ 原始 代 
0x18: push edx 

0x19: push ecx 13. © 
0x1la: mov ecx, 0x49 

91: mov edx, ecx 

0x21: pop ecx 

0x22: inc edx 

0x23: add edx, 0x70 

0x26: dec edx 

0x27: add eax, edx 

0x29: pop edx 


root@kali:~/programs/defcon/capstone# - 
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ele 
Бесоба; 
ESO 
5۳00 
SEG ONG: 
себ: 
12012128 
SENS. 
ΟΕΕ: 
260900: 
шри 
ee: 
SD 
5820998. 
sao + 
LI DE 
sen: 
Segue : 
сес: 
Е 
ΕΟΝ; 
Seguag : 
se088B: 
seg 
ΠΣ 
SEQ 
520990: 
Е 
segat: 
Senn 
SEOBE: 
zego: 
ον ος 
SEQEBB: 


D  3|—D 


шинэ 
ΠΒΒΒΒΕΒΕ 
ШЕ ЧЕ эд 
HOTO 
281211 E 
ШЕ 208 
ШЕШШ ш 
RE HEEE 
ШЕШЕН ШШ 
ΗΡΕΜΗ 


Format 
Base Address: 


ПОЗОВ — LI 


Sey 
09502868 
ЯВ B at 
ο @ 0) 
ΒΒΕΕΒΕΒΕ 
BBEOBEOR 
DODDSSDS 
@ БЕ Г 
(pou 
208887) 
Seve TA 
BOSE Р 
DOSHBETS 
28122 = 
DOO E 
E 8820 
ECORI 
Dann 
26008825 
ш: 0 128 
НӨсО 234 


ШИНЕ сул 


: C: NUMsXdefcon2019. bin 
: Binary file 


0000h Range: 0000h - 0029h Loaded length: 0029h 


.686p 
. mmx 
.model flat 


segment bute public 'CODE' use32 
assume cs:seg000 ta 
assume es:nothing, ss:nothing, ds:nothing, fs:nothing, 


push ebx g 
που ерх, 0 m 
sub eax, ebx 2 
pop ebx s 
sub eax, 55h 

sub eax, 32h 

add eax, ecx = 
add eax, 50h 4 
add eax, 37h = N 4 
push edx IDA pro 确认 了 我 们 的 : 
push ecx 反 汇 编 任 务 . © 5 
mov ecx, 49h : 
mov edx, ecx 

pop ecx 

inc edx 

add edx, 70h 

dec edx 

add eax, edx 

pop edx 

ends 


#include «unicorn/unicorn.h» 
#include <string.h> 


1 
2 
3 
4 
5 
6 # 


// Our code to be emulated. 


: "\x53\xbb\xb9\x00\x00\x00\x29\xd8\x5b\x83\xe8\x55\x83\xe8\x325 
}0\x83\xcO\x37\x52\x51\xb9\x49\x00\x00\x00\x89\xca\x59\x42\x83\ 5 


xc2\x70\x4a\x01\xd0\x5a" ° 
4 5 
8 // Emulation start address and a simple macro. 5) 
9 А 
10 #define ADDR 0x1000000 < 
11 £define MIN(x, y) (x « y? x : у) E 
12 3 
13 // Hook the instruction execution. > 
14 | 4 
15 static void hook_code(uc_engine *uc, uint64 t address, uint32_t size, void *user ὅ 
data) т 
16 ( — 
17 int r_eip; 2 
18 int r eax; < 
19 int г ебх; 
20 int r ecx; 
21 int r edx; 
22 
23 uint8_t instr_size[16]; 
24 
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25 printf("\nTracing instruction at Өх5х , instruction size = 0x%x\n", addre 
ss, size); 


26 

27 uc reg read(uc, UC X86 REG EIP, &r eip); 
28 uc reg read(uc, UC X86 REG EAX, &r eax); 
29 uc reg read(uc, UC X86 REG EBX, &r ebx); 
30 uc reg read(uc, UC X86 REG ECX, &r ecx); 
31 uc reg read(uc, UC X86 REG EDX, &r edx); 
32 

33 // Print the initial values of registries. 

34 

35 printf("\n>> EIP-0x*x ", г eip); 

36 printf(" | EAX-0x*x ", г eax); 

37 printf(" | EBX-0x*x ", г ерх); 

38 printf(" | ECX-0x*x ", г ecx); 

39 printf(" | EDX-0x*x ", г едх); 

40 printf("\n>> Executed hex code: "); 

41 

42 size - MIN(sizeof(instr size), size); 

43 if (!uc mem read(uc, address, instr size, size)) ( 
22 uint32 t i; 

45 for (1-0: i<size; i++) í 

46 printf("%x ", instr size[i]); 
47 H 

48 printf('" An"); 

49 H 

50 } 

51 

52 int main(int argc, char **argv, char **envp) 

53 í 

54 
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55 // Declare and initialize few variables 


56 

57 uğ engine *uc; 

58 uc hook traceinstr; 
59 uc_err err; 

60 


61 // Set up the initial registry values. 
62 // We have to set up the ESP register for emulating PUSH/POP instructions. 


63 

64 int r_eax = 0x4; 

65 int r_ebx = 0x0; 

66 int r_ecx = 0x7; 

67 int r_edx = 0x0; 

68 int r_esp = ADDR + 200000; 

69 

70 printf("\nInitial register values: in"); 
71 

72 printf("Nn>> EAX = *x ", r eax); 

73 printf("Nn>> EBX = *x ", r ebx); 

74 printf("Nn>> ECX = %x ", r_ecx); 

75 printf("Nn>> EDX = %x ", r edx); 

76 

ІІ printf("\n\nOur emulated code is: in"); 
78 

79 


80 // We are emulating a 32-bit application in x86 emulator, so initialize the emula 
tor in X86-32bit mode :) 
81 // If we wished to emulate in a x64 emulator, so we would use UC MODE 64. 


82 

83 err - uc open(UC ARCH X86, UC MODE 32, &uc); 

84 if (err !- UC ERR OK) { 

85 printf("A fail to use uc open() has occured and the error returne 
d is: %uNn", err); 

86 return -1; 

87 } 
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89 // We are reserving 4MB memory for this emulation. Additionally, UC PROT ALL mean 


s: RWX. 

90 

91 uc mem map(uc, ADDR, 4 * 1024 * 1024, UC PROT ALL); 

92 

93 // write machine code to be emulated to memory 

94 

95 if (uc mem write(uc, ADDR, DEFCON CODE, sizeof(DEFCON CODE) - 1)) í 

96 printf("It has happened a fail during the write emulation code to 
memory n") ; 

97 return -1; 

98 ) 

99 

100 // We need to initialize the machine registers 

101 

102 uc reg write(uc, UC X86 REG EAX, &r eax); 

103 uc reg write(uc, UC X86 REG EBX, &r ebx); 

104 uc reg write(uc, UC X86 REG ECX, &r ecx); 

105 uc reg write(uc, UC X86 REG EDX, &r edx); 

106 uc reg write(uc, UC X86 REG ESP, &r esp); 

107 


108 // uc: hook handle ; traceinstr: reference to uc hook ; UC HOOK CODE: hook type ; 
hook code: callback function 


110 uc hook add(uc, &traceinstr, UC HOOK CODE, hook code, NULL, 1, 0); 
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112 


113 // Start the emulation engine and emulate code in infinite time (first zero 
below) & unlimited instructions (second zero below). 


114 
115 
116 
117 
118 


119 
120 ) 
121 


err-uc emu start(uc, ADDR, ADDR + sizeof(DEFCON CODE) - 1, Ө, 0); 


if (err) í 


printf("The uc emu start() function has failed with error r 
eturning 564: %5\п", err, uc strerror(err)); 


122 // Finally, print out the final registers values. 


123 
124 
Wn"); 
125 
126 
127 
128 
129 
130 
131 
132 
133 
134 
135 
136 
137 
138 ) 


printf("NnThe final CPU registers contain the following content: \n 


uc reg read(uc, 
uc reg read(uc, 
uc reg read(uc, 
uc reg read(uc, 


printf(">>> EAX = 


printf ("\n>>> 
printf ("\n>>> 
printf ("\n>>> 
uc close(uc); 


return 0; 
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EBX 
ECX 
EDX 


UC X86 REG EAX, &r eax); 
UC X86 REG EBX, &r ebx); 
UC X86 REG ECX, &r ecx); 
UC X86 REG EDX, &r edx); 


Ox%x", г eax); 
Ox%x", г ебх); 
Ox%x", г есх); 
Ox%x\n\n", г едх); 
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root@kali:~/programs/defcon/unicorn# ./unicorn defcon 


Initial register values: 


>> EAX = 4 
>> EBX = 0 
»» ECX 2 7 
>> EDX = 0 


Our emulated code is: 
Tracing instruction at 0x1000000 , instruction size = 1 


>> EIP=0x1000000 | EAX=0x4 | ЕВХ-0х0 | ЕСХ-0х7 | EDX=0x0 
>> Executed hex code: 53 


Tracing instruction at 0x1000001 , instruction size = 0x5 


>> EIP=0x1000001 | EAX=0x4 | ЕВХ-0х0 | ЕСХ-0х7 | 00 
>> Executed hex code: bb b9 0 0 0 


Tracing instruction at 0x1000006 , instruction size - 0x2 


>> EIP=0x1000006 | EAX=0x4 | EBX=0xb9 | ЕСХ-0х7 | 0 
>> Executed hex code: 29 d8 


Tracing instruction at 0x1000008 , instruction size = 0x1 


>> EIP-0x1000008 | EAX-Oxffffffdb | EBX=Oxb9 | ЕСХ-0х7 | EDX=0x0 


>> Executed hex code: 5b 
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Tracing instruction at 0x1000021 , instruction size = 1 


>> EIP-0x1000021 | EAX-Oxffffff52 | ЕВХ-0х0 | ЕСХ-0х7 | EDX=0x49 
>> Executed hex code: 42 


Tracing instruction at 0x1000022 , instruction size = 0x3 


<< EIP=0x1000022 | EAX-Oxffffff52 | ЕВХ-0х0 | ЕСХ-0х7 | EDX=0x4a 
>> Executed hex code: 83 c2 70 


Tracing instruction at 0x1000025 , instruction size = 1 


>> EIP-0x1000025 | EAX-Oxffffff52 | ЕВХ-0х0 | ЕСХ-0х7 | Εὐχξθχρα 
>> Executed hex code: 4a 


Tracing instruction at 0x1000026 , instruction size = 0x2 


>> EIP=0x1000026 | EAX-Oxffffff52 | ЕВХ-0х0 | ЕСХ-0х7 | EDX=0xb9 
>> Executed hex code: 1 0 


Tracing instruction at 0x1000028 , instruction size = 1 


>> EIP-0x1000028 | EAX-0xb | ЕВХ-0х0 | ЕСХ-0х7 | EDX=0xb9 
»» Executed hex code: 5a 


The final CPU registers contain the following content: 


>>> EAX = 0xb 
>>> EBX = 0x0 
>>> ECX = 0x7 
>>> EDX = 0x0 
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v 下 载 uEmu 从 https://github.com/alexhude/uEmu 
v 安装 Unicorn: pip install unicorn. 

v 在 IDA 中 加 载 uEmu 使 用 ALT+F7 34988. 

۷ 右键 单 击 代码 并 选择 uEmu 子 菜单 。 


ebx 0x0 21 7 
: 前 进行 设置 


ώμο ο 


0x28: pop edx 


eax: 4 9 edi: ۶ 0 

ebx: ۵ ebp: 0 

ecx: 6 esp: _ ۲۸ 
| 


edx: 6x666666B9 eip: 0x88888828 
esi: 09х00000000 sp: 8x8888FFFC 


| реа аат ава qp “这 个 结果 确定 我 们 之 前 的 结论 
Line 3 of 10 
(Output window _ хоо 1 --. 


Python 2.7.15 (u2.7.15:ca879a3ea3, Apr 38 2818, 16:22:17) [MSC v.1588 32 bit (Inte1)] 
IDAPython v1.7.6 final (serial 8) (c) The IDAPython Team <idapython@googlegroups .com> 
[uEmu]: Init plugin 

[uEmu]: Run plugin 

[uEmu]: CPU arch set to [ x86 ] 

[uEmu]: Emulator is not active 

[uEmu]: Emulator is not active 

[uEmu]: Emulation started 

[uEmu]: Mapping segments... 

[uEmu]: * seg [8:29 

[uEmu] : map [8:FFF] -> [8:FFF] 

[uEmu]: cpu [8:28] 

[uEmu]: * <H> Missing memory at 8üxfffffffc, data size = 4, data value = 8x8 

[uEmu] : map [FFFFFFFC:FFFFFFFF] -> [FFFFF888:FFFFFFFF] 

[uEmu]: Breakpoint reached at 8x28 : pop edx 


Python 
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У MIASM 是 逆向 工程 中 最 令 人 印象 深刻 的 框架 之 一 ， 它 能 够 分 析 、 生 成 和 修改 几 种 不 


同类 型 的 程序 。 


У MIASM 支 持 从 ARM、x86、MIPS 等 不 同 平台 汇编 和 反 汇 编程 序 ， 还 可 以 使 用 JIT 进 行 仿 


В. 
V Atk, MIASM 是 最 出 色 的 对 抗 混淆 的 工具 . 
۷ 安装 MIASM: 


Y git clone https://github.com/serpilliere/elfesteem.git elfesteem 
cd elfesteem/ 

python setup.py build 

python setup.py install 

apt-get install clang 

apt-get remove libtcc-dev 

apt-get install llvm 

cd.. 

git clone http://repo.or.cz/tinycc.git 
cd tinycc/ 

git checkout release O 9 26 
configure --disable-static 

make 


make install 
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< < < < < < Saam 


INFO : 
INFO : 
INFO : 
INFO : 
: func ok 0000000000001070 (0) 
: generate graph file 

: generate intervals 


INFO 
INFO 
INFO 


pip install llvmlite 

apt-get install z3 

apt-get install python-pycparser 
git clone https://github.com/cea-sec/miasm.git 
root@kali:~/programs/miasm# python setup.py build 
root@kali:~/programs/miasm# python setup.py install 
root@kali:~/programs/miasm/test# python test all.py 
apt-get install graphviz 
apt-get install xdot 
(testing MIASM) root@kali:~/programs# python /root/programs/miasm/example/disasm/ 
full.py -m x86. 32 /root/programs/shellcode 


Load binary 

ok 

import machine... 
ok 


[0x1070 0x10A2] 


INFO : 


total lines O 


v (testing MIASM) xdot graph. execflow.dot 
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graph, execflow.dot - Dot Viewer 


оа a a Qa Qa a 


080010780 XOR 
08001872 POP 

08001873 MOV X, ESP 
00001075 AND , ΘΧΕΕΕΕΕΕΕΘ 
08001078 PUSH 

08001879 PUSH ESP 

0800187A PUSH EDX 

0800107B CALL loc 10a2 


loc 16088 
00001080 EBX, 0x2F80 
00001086 , DWORD PTR [EBX + 8xFFFFD288] 
00001098C 
00001098D , DWORD PTR [EBX + 8xFFFFD228] 
00001093 PUSH 
00001094 PUSH ECX 
00001095 PUSH ESI 
00001096 PUSH DWORD PTR [EBX + 8xFFFFFFF8] 
00000109C CALL loc 18568 
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106-1 
000018A1 HLT 
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P = 
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P = 
UJ N 


= = یم 
σι Uu a‏ 


P = = 
© oo - 


UJ UJ м м м м м IO 
Н C O со ч O Ul + UJ N) PD 
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from miasm2.analysis.binary import Container 
from miasm2.analysis.machine import Machine 
from miasm2.jitter.csts import PAGE READ, PAGE WRITE 
. | 打开 我 们 的 文件 。 容 器 向 反 汇编 引擎 
with open("defcon2019.bin") as fdesc: سس‎ 提供 字 节 源 。 
cont-Container.from stream(fdesc) 
| | 使 用 x86 32 位 体系 结构 实例 化 组 装 引 
machine=Machine('x86 32') Ex 。 
mdis-machine.dis engine(cont.bin stream) 
ourblocks = mdis.dis multiblock(9) 从 开始 运行 递归 的 横向 反 汇 
for block in ourblocks: ЯН, 
print block 
jitter = machine.jitter("llvm") 将 “llvm” 设 置 为 Jit 引 擎 进行 仿 
Jitter.init stack() 真 并 初始 化 堆栈 。 
s = open("defcon2019.bin").read() 设置 虚拟 启动 地 址 、 寄 存 


run addr = EN 1 Cc ي‎ 
jitter.cpu.EAX-3 器 值 和 内 存 保护 。 


jitter.cpu.ECX=6 
jitter.vm.add_memory_page(run_addr, PAGE_READ | PAGE_WRITE, s) 
def code sentinelle(jitter): 

jitter.run = False 

jitter.pc = 0 


return True = ¿= b 5 
jitter.add breakpoint(0x40000028, code sentinelle) ΠΕ 行 代码 中 添 
jitter.push_uint32_t(0x40000028) gi 
jitter.jit.log_regs = True 
jitter.jit.log_mn = True 
jitter.init_run(run_addr) 
jitter.continue_run() 


运行 仿真 
open('defcon2019 cfg.dot', 'w').write(ourblocks.dot()) 一 一 一 > ERAR. 
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root@kali:~/programs/defcon# python miasm.py 
WARNING: not enough bytes in str 

cannot disasm at 29 

WARNING: not enough bytes in str 

cannot disasm at 29 

loc 0000000000000000:0x00000000 


WARNING: 


WARNING: 


PUSH 
MOV 
SUB 
POP 
SUB 
SUB 
ADD 
ADD 
ADD 
PUSH 


-> 
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EBX 


999 
EBX 


0x55 
0x32 
ECX 

0x50 
0x37 


0x49 
ECX 


0x70 


反 汇 编 我 们 的 代码 (再 一 次 ) © 


c next:loc 0000000000000029:0x00000029 
loc 0000000000000029:0x00000029 
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40000000 PUSH 


EAX 00000003 
ESP 0123FFF8 
40000001 MOV 
EAX 00000003 
ESP 0123FFF8 
40000006 SUB 
EAX FFFFFF4A 
ESP 0123FFF8 
40000008 POP 
EAX FFFFFF4A 
ESP 0123FFFC 
40000009 SUB 
EAX FFFFFEF5 
ESP 0123FFFC 
4000000C SUB 
EAX FFFFFEC3 
ESP 0123FFFC 


EAX FFFFFF50 
ESP 0123FFF8 
40000021 INC 
EAX FFFFFF50 
ESP 0123FFF8 
40000022 ADD 
EAX FFFFFF50 
ESP 0123FFF8 
40000025 DEC 
EAX FFFFFF50 
ESP 0123FFF8 
40000026 ADD 
EAX 00000009 
ESP 0123FFF8 


EBX 
EBP 


EBX 
EBP 


EBX 
EBP 


EBX 
EBP 


EBX 
EBP 


EBX 
EBP 


EBX 
EBP 


EBX 
EBP 


EBX 
EBP 


EBX 
EBP 


EBX 
EBP 
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EBX 
00000000 ECX 
00000000 EIP 

EBX, ӨхВ9 
000000B9 ECX 
00000000 EIP 

EAX, EBX 
000000B9 ECX 
00000000 EIP 

EBX 
00000000 ECX 
00000000 EIP 

EAX, 0x55 
00000000 ECX 
00000000 EIP 

EAX, 0x32 
00000000 ECX 
00000000 EIP 


00000000 ECX 
00000000 EIP 
EDX 
00000000 ECX 
00000000 EIP 
EDX, 0x70 
00000000 ECX 
00000000 EIP 
EDX 
00000000 ECX 
00000000 EIP 
EAX, EDX 
00000000 ECX 
00000000 EIP 


00000006 
40000000 


00000006 
40000000 


00000006 
40000000 


00000006 
40000000 


00000006 
40000000 


00000006 
40000000 


00000006 
40000000 


00000006 
40000000 


00000006 
40000000 


00000006 
40000000 


00000006 
40000000 


EDX 00000000 
zf 0 nf 0 of 


EDX 00000000 
zf 0 nf 0 of 


EDX 00000000 
zf 0 nf 1 of 


EDX 00000000 
zf 0 nf 1 of 


EDX 00000000 
zf 0 nf 1 of 


EDX 00000000 
zf 0 nf 1 of 


EDX 00000049 
zf 0 nf 1 of 


EDX 0000004A 
zf 0 nf 0 of 


EDX 000000BA 
zf 0 nf 0 of 


EDX 000000B9 
zf 0 nf 0 of 


EDX 000000B9 
zf 0 nf 0 of 


ESI 00000000 
0 cf 0 


ESI 00000000 
0 cf 0 


ESI 00000000 
0 cf 1 


ESI 00000000 
0 cf 1 


ESI 00000000 
0 cf 0 


ESI 00000000 
0 cf 0 


ESI 00000000 
0 cf 0 


ESI 00000000 
0 cf 0 


ESI 00000000 
0 cf 0 


ESI 00000000 
0 cf 0 


ESI 00000000 
0 cf 1 


EDI 


EDI 


EDI 


EDI 


EDI 


EDI 


EDI 


EDI 


EDI 


EDI 


EDI 


00000000 


00000000 


00000000 


00000000 


00000000 


00000000 


00000000 


00000000 


00000000 


00000000 


00000000 
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loc 0000000000000000 


PUSH 
MOV 
SUB 
POP 


SUB 


OxB9 
EBX 


0x55 
0x32 
ECX 

0x50 
0x37 


loc_0000000000000029 


IOError 


我 们 的 目标 代码 . 9 


α- 
ш 
I 
o 
ος 
< 
ш 
12) 
ш 
α- 
> 
ы 
ος 
2 
o 
ш 
222) 
Q 
= 
< 
ш 
сс 
< 
5 
< 
> 
| 
12) 
ш 
о 
ος 
О 
са 
ш 
ος 
o 
= 
< 
> 
ш 
= 
< 


root@kali:~/programs/defcon# python 
Python 2.7.16 (default, Apr 6 2019, 01:42:57) 
[GCC 8.3.0] on Linux2 


Type "help", "copyright", "credits" or "license" for more information. 


>>> from miasm2.analysis.binary import Container 

>>> from miasm2.analysis.machine import Machine 

>>> from miasm2.jitter.csts import PAGE READ, PAGE WRITE 

>>> with open("defcon2019.bin") as fdesc: 
cont-Container.from stream(fdesc) 


>>> defconmach-Machine('x86 32') 

>>> defcondis-defconmach.dis engine(cont.bin stream) 

>>> myblocks = defcondis.dis multiblock(0) 

WARNING: not enough bytes in str 

WARNING: cannot disasm at 29 

WARNING: not enough bytes in str 得 到 IRA 转 换 器 。 

WARNING: cannot disasm at 29 

>>> sym = defconmach.ira( ) 

>>> for block in myblocks: 初始 化 并 运行 符号 执行 引 
sym.add block(block) E, 


[«miasm2.ir.ir.IRBlock object at 

[] 

>>> from miasm2.ir.symbexec import SymbolicExecutionEngine 

>>> symb = SymbolicExecutionEngine(sym,defconmach.mn.regs.regs init) 
>>> symbolic pc = symb.run at(0, step-True) 
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>>> symbolic pc = symb.run at(0, step-True) 
Instr PUSH EBX 

Assignblk: 

ESP = ESP + -0x4 

@32[ESP + -0x4] = EBX 


ESP = ESP_init + 0xFFFFFFFC 
@32[ESP_init + OxFFFFFFFC] = EBX init 

Instr MOV EBX, 9 

Assignblk: 

EBX = 9 

ESP = ESP init + OxFFFFFFFC 

EBX = 9 

832[ESP init + OxFFFFFFFC] = EBX init 

Instr SUB EAX, EBX 

Assignblk: 

zf = (EAX + -EBX)?(0x0,0x1) 

nf = (EAX + -EBX)[31:32] 

pf = parity((EAX + -EBX) & 0xFF) 

of = ((EAX ^ (EAX + -EBX)) & (EAX ^ EBX))[31:32] 
cf = (((EAX ^ EBX) ^ (EAX + -EBX)) ^ ((EAX ^ (EAX + -EBX)) & (EAX ^ EBX)))[31:32 
] 

af = ((EAX ^ EBX) ^ (EAX + -EBX)) [4:5] 


EAX = EAX + -EBX 
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EAX EAX init + ECX init 

cf ((((EAX init + ECX init) ^ (EAX init + ECX init + OxFFFFFF4 
7)) & ((EAX init + ECX init + OxFFFFFF47) ^ OxFFFFFF46)) ^ (EAX init + ECX init) 
^ (EAX init + ΕΟΧ init + OxFFFFFF47) ^ 0xB9) [31:32] 


pf = parity((EAX init + ECX init) & OxFF) 

zf = (EAX init + ECX init)?(0x0,0x1) 

af = ((EAX init + ECX init) ^ (EAX init + ECX init + OxFFFFFF47) 
^ 0xB9) [4:5] 

of = (((EAX init + ECX init) ^ (EAX init + ECX init + OxFFFFFF47 


)) & ((EAX init + ECX- init + OxFFFFFF47) ^ OxFFFFFF46) ) [31:32] 
nf = (EAX_ init + ECX_init) [31:32] 

@32[ESP_init + OxFFFFFFF8] = ECX init 

832|Е5Р init + OxFFFFFFFC] = EDX init 


Aes ignblk: FDX 我 们 之 前 的 测试 也 得 出 


IRDst = loc 0000000000000029:0x00000029 了 同样 的 结论 。 © 


EAX = EAX init + ECX init 
cf z ( (((EAX init + ECX init) ^ (EAX init + ECX init + OxFFFFFF4 
7)) & ((EAX init + ECX init + OxFFFFFF47) ^ OxFFFFFF46)) ^ (EAX init * ECX init) 
^ (EAX init + ΕΟΧ init + OxFFFFFF47) ^ 0xB9) [31:32] 


pf = parity((EAX init + ECX init) & OxFF) 

zf = (EAX init + ECX init)?(0x0,0x1) 

af = ((EAX init + ECX init) ^ (EAX init + ECX init + OxFFFFFF47) 
^ ΘΧΒΟ) [4:5] 

IRDst - 0x29 

of = (((EAX init + ECX init) ^ (EAX init + ECX init + OxFFFFFF47 


)) & ((EAX init + ΕΟΧ init + OxFFFFFF47) ^ OxFFFFFF46)) [31:32] 
nf = (EAX init + ECX init)[31:32] 

832|Е5Р init + OxFFFFFFF8] = ECX init 

832[ESP init + OxFFFFFFFC] = EDX init 
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ν΄ — تت‎ 它 在 Solaris 操 作 系 统 上 非常 高 效 并 且 非 常 有 


v Dtrace 最 初 由 太阳 微 系 统 公司 的 Mike Shapiro, Adam Leventhal 和 Brian Cantrill 
编写 。 尽 管 他 们 从 2003 年 开始 开发 DTrace, 但 它 只 在 Solaris 10 03/05 中 引入 。 


У 它 用 于 在 用 尸 和 内 核 模式 下 获得 系统 的 实时 概 览 。 此 外 ， 它 还 可 以 用 来 理 
解 应 用 程序 和 系统 的 行为 。 


v 几 个 月 前 , DTrace 被 移植 到 Windows: https://github.com/opendtrace/ 
opendtrace/tree/windows 


Y DTrace 可 以 概括 为 一 组 分 散在 内 核 关 键 点 上 的 探 针 ( 传 感 器 )。 因此 , 每 次 “ 激 
活 ” 探 测 时 ， 都 可 以 注册 并 理解 应 用 程序 行为 。 


v 使 用 DTrace 可 以 更 容易 地 跟踪 进程 和 系统 的 概要 文件 、 查找 哪些 系统 调用 
馈 “ 调 用 ”、 进 程 守 入 / 读 取 了 多 少 字 广 、 进 程 打开 了 多 人 少 文件 、 跟 中 局 调 用 的 
系统 调用 序列 等 等 。 
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ν΄ DTrace 的 脚本 使 用 Di& = 5و2‎ (与 awk 相似 )， 
۷ 探测 名 称 由 以 下 语法 描述 : 
provider:module:function:name 
定义 如 下 : 
v provider: 用 于 测量 系统 某 一 区 域 的 探 针 库 。 在 Windows 上 ， 现 有 的 提 
供 者 有 syscall、 etw、profile、pid 和 dtrace。 
Y module: 内 核 模块 ， 我 们 在 这 里 找到 探 针 。 
v function: 图 数 包 含 探 针 . 
Y name: 目 标 探测 的 特定 名 称 或 描述 。 
۷ 关键 概念 : 
Y predicates: 用 户 定 义 的 条 件 。 


V actions: 当 探测 触发 时 运行 的 任务 。 
۷ aggregations: FBR A KAMA FHF NR o 
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у 安装 DTrace: 


ν΄ 


ν΄ 


ν΄ 


Windows 10 x64 (build 18342 或 更 晚 ) ЭЕ WindowsA ЯЕГР, 


bcdedit.exe /set dtrace on 


下 载 DTrace package: http://download.microsoft.com/download/B/D/4/ 
BD4B95A5-0B61-4D8F-837C-F889AAD8DAA2/DTrace.amd64.msi 


_NT_SYMBOL_PATH=srv*C:\symbols*https://msdl.microsoft.com/ 


download/symbols 
引导 系统 。 
以 管理 员 身 份 打开 命令 提示 符 . 


如 果 使 用 fbt( 耻 数 边界 跟踪 )， 则 需要 附加 WinDbg 并 在 调试 模式 下 局 动 


ап. © 
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C:\Users\Administrator>dtrace -1 | more 


ID 


© 0ا‎ 00 чс uU! ظط‎ Uu мн 


MN N N H دم دم‎ ык دم دم‎ HH ы 
M HP © ها‎ 0 чс uU b UN P 


PROVIDER 


dtrace 

dtrace 

dtrace 
syscall 
syscall 
syscall 
syscall 
syscall 
syscall 
syscall 
syscall 
syscall 
syscall 
syscall 
syscall 
syscall 
syscall 
syscall 
syscall 
syscall 
syscall 
syscall 


DEF CON CHINA 1.0 (2019) 


MODULE 


FUNCTION 


NtLockProductActivationKeys 
NtLockProductActivationKeys 
NtWaitHighEventPair 
NtWaitHighEventPair 
NtRegisterThreadTerminatePort 
NtRegisterThreadTerminatePort 
NtAssociateWaitCompletionPacket 
NtAssociateWaitCompletionPacket 
NtQueryPerformanceCounter 
NtQueryPerformanceCounter 
NtCompactKeys 

NtCompactKeys 
NtQuerySystemInformationEx 
NtQuerySystemInformationEx 
NtResetEvent 

NtResetEvent 

NtGetContextThread 
NtGetContextThread 
NtQueryInformationThread 


NAME 
BEGIN 
END 
ERROR 
entry 
return 
entry 
return 
entry 
return 
entry 
return 
entry 
return 
entry 
return 
entry 
return 
entry 
return 
entry 
return 
entry 
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C:\>dtrace -V 
dtrace: Sun D 1.13 


C:\>dtrace -1 | grep -v "syscall" | grep -v "etw" 


ID PROVIDER MODULE FUNCTION NAME 

1 dtrace BEGIN 

2 dtrace END 

3 dtrace ERROR 
2997 profile profile-97 
2998 profile profile-199 
2999 profile profile-499 
3000 profile profile-997 
3001 profile profile-1999 
3002 profile profile-4001 
3003 profile profile-4999 
3004 profile tick-1 
3005 profile tick-10 
3006 profile tick-100 
3007 profile tick-500 
3008 profile tick-1000 
3009 profile tick-5000 
3044 profile tick-5sec 
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C:\>dtrace -ln "syscall::*Read*:entry" 


ID PROVIDER 
36 syscall 
140 syscall 
170 syscall 
234 syscall 
608 syscall 
614 syscall 


MODULE FUNCTION NAME 
NtReadOnlyEnlistment entry 
NtReadRequestData entry 
NtWorkerFactoryWorkerReady entry 
NtReadFileScatter entry 
NtReadVirtualMemory entry 
NtReadFile entry 


C:\>dtrace -ln "syscall::*Write*:entry" 


ID 


PROVIDER 


syscall 
syscall 
syscall 
syscall 
syscall 
syscall 
syscall 
syscall 


MODULE FUNCTION NAME 
NtWriteFile entry 
NtGetWriteWatch entry 
NtFlushProcessWriteBuffers entry 
NtWriteVirtualMemory entry 
NtFlushWriteBuffer entry 
NtWriteRequestData entry 
NtWriteFileGather entry 
NtResetWriteWatch entry 


C:\>dtrace -ln "syscall::*View*:entry" 


ID 
516 
518 
638 
704 
878 
918 


PROVIDER 


syscall 
syscall 
syscall 
syscall 
syscall 
syscall 
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MODULE FUNCTION NAME 
NtUnmapViewOfSectionEx entry 
NtMapViewOfSection entry 
NtAlpcCreateSectionView entry 
NtAlpcDeleteSectionView entry 
NtUnmapViewOfSection entry 
NtMapViewOfSectionEx entry 
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C:\>dtrace -Fn "syscall:::entry /execname==\"notepad.exe\"/ 
dtrace: description 'syscall:::entry ' matched 464 probes 


NtCreateFile 
NtQueryAttributesFile 
NtQueryInformationFile 
NtQueryValueKey 

NtWriteFile 

NtEnumerateKey 
NtQueryInformationToken 
NtSetInformationFile 
NtSetInformationProcess 
NtSetTimer2 
NtWaitForWorkViaWorkerFactory 
NtTraceEvent 

NtClearEvent 

NtOpenKeyEx 

NtOpenEvent 

NtQueryKey 
NtAssociateWaitCompletionPacket 12 
NtSetInformationThread 16 
NtAlpcSendWaitReceivePort зе 
NtOpenFile 135 
NtQueryDirectoryFileEx 135 
NtClose 138 
NtQueryInformationProcess 138 
NtCallbackReturn 616 


1 
1 
1 
1 
1 
2 
2 
2 
2 
2 
2 
4 
6 
6 
7 
e 


pa 
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C:\>dtrace -n "syscall:::entry ( @num[pid,execname] = count(); )" 
dtrace: description 'syscall:::entry ' matched 464 probes 


5492 RuntimeBroker. 1 
Ө DismHost.exe 2 

@ VSSVC.exe 2 

Ө svchost.exe 2 
8376 smartscreen.ex 3 
1248 TrustedInstall 6 
1544 svchost.exe 6 
9260 wimserv.exe 6 
3584 vmtoolsd.exe 7 
8000 vmtoolsd.exe 11 
7560 cmd.exe 14 
1380 svchost.exe 15 
1568 RuntimeBroker. 29 
4144 svchost.exe 20 
3564 vmms.exe 24 
9408 WinRAR.exe 27 
4528 vmcompute.exe 30 
480 svchost.exe 46 
1988  svchost.exe 89 
3184 svchost.exe 98 
1152 ctfmon.exe 108 
4844 wuauclt.exe 126 
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C:\>dtrace -Fn "tick-5sec { exit(0);) syscall:::entry ( @num[probefunc] = count(); )" | tail -20 
dtrace: description 'tick-5sec ' matched 465 probes 


NtCreateFile 773 
NtReleaseMutant 860 
NtQueryVirtualMemory 878 
NtSetInformationKey 1094 
NtSetInformationFile 1152 
NtEnumerateKey 1215 
NtOpenThreadToken 1286 
NtCreateKey 1295 
NtEnumerateValueKey 1312 
NtQueryInformationFile 1953 
NtWriteFile 2476 
NtQuerySecurityObject 2669 
NtQueryValueKey 3089 
NtWaitForSingleObject 3380 
NtQueryDirectoryFileEx 4225 
NtOpenFile 4237 
NtQueryInformationToken 6111 
NtOpenKeyEx 7470 
NtClose 14041 
NtQueryKey 15949 


v 可 以 使 用 另 一 种 类 型 的 提供 程序 “fbt( 孙 数 边 界 跟踪 ), 它 跟踪 通过 内 核 中 的 
NTFS 执 行 的 系统 调用 序列 。 


۷ 只 有 当 Windows 10 附 加 内 核 调试 器 时 , 41891731: fot HABE. 
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C:N>dtrace -Fn "tick-5sec { exit(0);) syscall:::entry /execname == \"chr 
ome.exe\"/ ( @num[probefunc] = count(); )" | tail -25 
dtrace: description 'tick-5sec ' matched 465 probes 


NtDeviceloControlFile 32 
NtDuplicateObject 40 
NtFreeVirtualMemory 50 
NtAllocateVirtualMemory 56 
NtQueryInformationThread 75 
NtFindAtom 163 
NtSetTimerResolution 187 
NtQuerySystemInformation 202 
NtCreateEvent 328 
NtClose 381 
NtQueryInformationProcess 396 
NtClearEvent 428 
NtAlertThreadByThreadId 604 
NtWaitForAlertByThreadId 604 
NtSetIoCompletionEx 684 
NtAssociateWaitCompletionPacket 1020 
NtSetIoCompletion 1050 
NtDelayExecution 1215 
NtFlushProcessWriteBuffers 1335 
NtRemoveloCompletionEx 1702 
NtReadFile 2175 
NtWriteFile 2242 
NtSetEvent 2824 
NtWaitForSingleObject 4319 


NtRemoveloCompletion 8600 
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C:\>dtrace -n "profile-997hz ( @[pid, execname] = count( ); )" 


dtrace: description 'profile-997hz 


e 
440 
872 

1028 
1136 
1368 
1400 
1532 
1652 
1728 
2176 
2512 
2528 
2672 
3756 
5004 
5828 
6192 
6276 
6784 
7944 
8312 
9084 
10052 


audiodg.exe 
smss.exe 
fontdrvhost.ex 
wlrmdr.exe 
svchost.exe 
svchost.exe 
svchost.exe 
svchost.exe 
svchost.exe 
userinit.exe 
svchost.exe 
RuntimeBroker. 
svchost.exe 
svchost.exe 
dasHost.exe 
svchost.exe 
RuntimeBroker. 
svchost.exe 
svchost.exe 
SkypeBackgroun 
SecurityHealth 
MicrosoftEdgeS 
svchost.exe 
svchost.exe 
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matched 1 probe 


a ыз‏ در Fa Fa Fa Fa Fa Fa ы‏ در ka ka‏ در Fa Fa Fa FA FA FA Fa Fa‏ دم دا 
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C:\>dtrace -Fn "fbt:ntfs::/execname==\"WinRAR.exe\"/{}" | more 
dtrace: description 'fbt:ntfs::' matched 7752 probes 
CPU FUNCTION 
-» NtfsFsdDispatchWait 
-» memset 
«- memset 
-» NtfsFsdDispatchSwitch 
-» NtfsInitializeTopLevelIrp 
<- NtfsInitializeTopLevelIrp 
-» memset 
«- memset 
-» NtfsInitializeIrpContextInternal 
NtfsInitializeIrpContextInternal 
-» NtfsUpdateIrpContextWithTopLevel 
<- NtfsUpdateIrpContextWithTopLevel 
-» NtfsPreRequestProcessingExtend 
<- NtfsPreRequestProcessingExtend 
-» NtfsCommonQueryInformation 
-» NtfsAcquireExclusiveFcb 
<- NtfsAcquireExclusiveFcb 
-» TxfSetupTransactionContextFromCcb 
<- TxfSetupTransactionContextFromCcb 
-» NtfsQueryNameInfo 


6 8۵ 6۵ ۵ л ۵ сс ۵ 8۵ 6۵ ۵ ۵ 8۵ ۵ ۵ ۵ ۵ ۵ ۵ ۵ 
^ 
' 
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Your Windows Insider Build ran into a problem and needs to 


restart. We're just collecting some error info, and then you 
can restart. 


10096 complete 


For more information about this issue and possible 


fixes, visit https://www.windows.com/stopcode 


If you call a support person, give them this info: 
Stop code: DRIVER IRQL NOT LESS OR EQUAI 


What failed: traceext.sys 


ἘΞ 
Last event: Break instruction exception - code 80000003 
Sun Apr 28 22:00:04.067 2019 (UTC - 7:00) 


kd» k 
Child-SP 


fffffd8d' 
fffffd8d' 
fffffd8d' 
fffffd8d' 
fffffd8d' 
fffffd8d' 
fffffd8d' 
fffffd8d' 
fffffd8d' 
fffffd8d' 
fffffd8d' 


000000ac 


с02а0198 
с02а01а0 
с02а02е0 
с02а0478 
с02а0480 
с02а0540 
с02а0760 
с02а0930 
с02а0980 
c02a09e0 
c02a0a40 


“bc7£b918 


kd> .lastevent 


debugger time: 


RetAddr 


fffff802' 
fffff802' 
fffff802' 
fffff803' 
fffff803' 
fffff803' 
fffff802' 
fffff802' 
fffff802' 
fffff802' 
00007ҒҒ9 ` 
00000000" 


1: kd» Ίπι m traceext 


start 
fffff802'217b6000 fffff802'217d1000 
Loaded symbol image file: 
Image path: traceext.sys 


end 


21fe5469 
21fel7ab5 
217b8ele 
01e932bf 
01e95e2c 
01e972d8 
217b76cd 
217c16cc 
226949d4 
21fe534d 
2edfc164 
00000000 


Call Site 

nt!KeBugCheckEx 
nt!KiBugCheckDispatch-0x69 

nt! KiPageFault+0x465 

traceext! StpGetArgVal+0xe 
DTrace!dtrace dif variable+0xle7 
DTrace!dtrace dif emulate+0x754 
DTrace!dtrace probe+0x478 
traceext!dtrace probe+0x29 
traceext! StpCallbackEntry+0x7c 
nt!KiTrackSystemCallEntry+0xd4 
nt!KiSystemServiceExitPico+0x238 
000007 ۶۶9 ۰ 2601۶01 4 


(first/second chance not available) 


module name 


traceext. 


(pdb symbols) 
sys 


Image name: 


traceext.sys 


Image was built with /Brepro flag. 

Timestamp: 

CheckSum: 

ImageSize: 

Translations: 

Information from resource tables: 
kd> x /D traceext!s* 


DEF CON CHINA 1.0 (2019) 


'217b8e10 
“217с1770 
“217с1880 
“217с1710 
'217b8e50 
“217с17с0 
“217с1970 
`217с1650 
'217b9146 
“217с16е0 


A14AF89D (This is a reproducible build file hash, 
00016962 

0001B000 

0000.04b0 0000.04e4 0409.04b0 0409.04e4 


not a timestamp) 


traceext!StpGetArgVal (void) 

traceext!StpDisable (void) 

traceext!StpProvide (void) 

traceext!StpEnable (void) 

traceext!StpGetContext (void) 
traceext!StpGetArgType (void) 
traceext!StpDestroy (void) 
traceext!StpCallbackEntry («no parameter info») 
traceext!strcmp («no parameter info») 
traceext!StpCallbackReturn («no parameter info») 


ος 
ш 
τ 
o 
a 
< 
ш 
12) 
ш 
ος 
> 
Е 
ος 
2 
o 
ш 
222) 
o 
= 
< 
ш 
сс 
ч 
5 
< 
> 
| 
N 
ш 
о 
ος 
o 
са 
ш 
ος 
[e] 
= 
< 
> 
ш 
a 
< 


1: kd» uf ۶۶۶۶۶802 0 
traceext!StpGetArgVal: 
ҒҒҒҒҒ802 21718610 488b542428 
fffff802'217b8el5 2 
fffff802'217b8e18 742a 


traceext! StpGetArgVal+0xa: 
fffff802'217b8ela 4983e0fe 
fffff802'217b8ele 410fb74008 
fffff802'217b8e23 443bc8 
fffff802'217b8e26 741с 


traceext! StpGetArgVal+0x18: 
fffff802'217b8e28 8b4210 
fffff802'217b8e2b 443bc8 
fffff802'217b8e2e 740с 


traceext! StpGetArgVal+0x20: 
fffff802'217b8e30 488b4208 


traceext! StpGetArgVal+0x24: 
fffff802'217b8e34 4963c9 movsxd 
fffff802'217b8e37 488b04c8 mov 
fffff802'217b8e3b c3 ret 


traceext! StpGetArgVal+0x2c: 
fffff802'217b8e3c 442bc8 
fffff802'217b8e3f 2 
fffff802'217b8e42 ebfO 


traceext! StpGetArgVal+0x34: 
fffff802'217b8e44 0 xor 
۴۶1۶۶802 217۳8646 c3 ret 
1: kd» vertarget 


rdx,qword ptr [rsp+28h] 
rdx,rdx 
traceext! StpGetArgVal+0x34 (fffff802'217b8e44) 


r8,0FFFFFFFFFFFFFFFEh 

eax,word ptr [r8+8] 

r9d,eax 

traceext!StpGetArgVal+0x34 (fffff802'217b8e44) 


eax,dword ptr [rdx+10h] 
r9d,eax 
traceext!StpGetArgVal+0x2c (fffff802'217b8e3c) 


rax,qword ptr [rdx+8] 


rcx,r9d 
rax,qword ptr [гах+гсх*8] 


r9d,eax 
rax,qword ptr [rdx] 
traceext! StpGetArgVal+0x24 (fffff802'217b8e34) 


indows 10 Kernel Version 18362 MP (2 procs) Free x64 
Product: WinNt, suite: TerminalServer SingleUserTS 
Built by: 18362.1.amd64fre.19hl release.190318-1202 


achine Name: 


Branch 


Branch 


Branch 


Branch 


ος 
LLI 
mm 
o 
ος 
< 
ш 
[^4] 
ш 
сс 
> 
Е 
ος 
2 
o 
ш 
[^4] 
Q 
= 
< 
LLI 
ος 
< 
5 
< 
> 
| 
[^4] 
ш 
о 
ος 
О 
a 
LLI 
ος 
Q 
= 
< 
> 
ш 
= 
< 


Kernel base = Oxfffff802'21e17000 PsLoadedModuleList = Oxfffff802'2225a290 
Debug session time: Sun Apr 28 19:11:07.480 2019 (UTC - 7:00) 
System Uptime: 0 days 2:40:06.813 
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反 虚 拟 化 
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У TR FB Sc 1015: 5 SA REA SS AR, XESARA FN 
VMWare (ME ۱/0 13848). VirtualBox, Parallels, SeaBIOS ERR. 0۲۱۱۱ 5 
Яа. Bochsf/; E gs. OEMUT Е #8, Hyper-V, Innotek VirtualBox, sandbox 
(Cuckoo). 


v 此 外 ， 有 几 十 种 技术 可 以 用 于 检测 Vmware 沙 箱 : 
У ТОВ Е Я(Ореп5ийКеу()Ё 25), ARRAS Р ولا‎ PRN LA 
关 的 条 目 
(HKEY_LOCAL MACHINE\SOFTWARE\Microsoft\Virtual Machine\Guest\Para 
meters). 


Y 使 用 WMI 查 询 Win32_BIOS 管 理 类 ， 以 与 物理 机 器 中 的 属性 进行 交互 
4 λα, 双 知 道 了 世界 上 每 一 种 反 虚 拟 化 技术 ， 并 且 所 有 这 些 技术 都 有 文 


v 目前 大 多 数 技术 都 使 用 WMI, 使 用 WMI 可 以 快速 编写 C# 程 序 。 
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Busing System; 
[using System.Management; 


Enamespace Test VM 


1 
cu 

Ни 
ΕΙ ' : 
1 


) 
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class Program 


static void Main(string[] args) 


ManagementClass bioscClass - 
new ManagementClass("Win32 BIOS"); 
ManagementObjectCollection biosc - 
bioscClass.GetInstances(); 
ManagementObjectCollection.ManagementObjectEnumerator 
bioscEnumerator - 
biosc.GetEnumerator(); 
while (bioscEnumerator.MoveNext()) 


( 
' ManagementObject biosc1 = 
(ManagementObject)bioscEnumerator.Current; 
Console.WriteLine( 
“Attributes: \n\n" + "Version:\t ”+ biosci["version"].ToString( )); 
Console.WriteLine( 
“SerialNumber: \t ”+ biosc1["SerialNumber"].ToString()); 
Console.WriteLine( 
“OperatingSystem:\t ”+ biosci["TargetOperatingSystem" ].ToString()); 
Console.WriteLine( 
“Manufacturer: \t ”+ biosci["Manufacturer"].ToString()); 
} 


//return از‎ 
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v 上 一 张 幻 灯 片 的 代码 没有 任何 新 信息 : 
ν΄ ManagementClass class 代表 公共 信息 模型 (CIM) 管 理 类 。 


v Win32_ BIOS WMI class 代表 BIOS 的 属性 和 该 类 的 成 员 使 您 能 够 使 用 特 


定 的 WMI 类 路 径 访 问 WMI 数 据 。 


V Getinstances( ) 获 取 类 的 所 有 实例 的 集合 。 

ν΄ GetEnumerator( ) 返回 集合 的 枚 举 器 (IEnumerator)。 

Y IEnumeratorCurrent( ) 返回 相同 的 对 象 。 

ν΄ |Enumerator.MoveNext( ) 将 枚 举 数 推进 到 集合 的 下 一 个 元 素 。 

口 物理 主机 : О 客户 虚拟 机 : 

C:\> Test VM.exe E:\> Test VM.exe 
属性 : 属性 : 
版 本 : DELL -6222004 版 本 : LENOVO - 6040000 
序列 号 : 0596551 序列 号 : VMware-56 4d 8d c3 a7 c7 e5 
操作 系统 :0 2b-39 d6 cc 93 bf 90 28 2d 
=: Dell Inc. 操作 系统 : 0 


EO DOES Ф =: Phoenix Technologies LTD 
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namespace TestVM 3 
í 
= class Program 
( 
= static void Main(string[] args) 
( 

ManagementClass tempClass = 

new ManagementClass("Win32 TemperatureProbe"); 

ManagementObjectCollection tempinstance = 

tempClass.GetInstances() ; 

E foreach (ManagementObject aborges in tempinstance) 

1 

string buffer = aborges.GetPropertyValue("CurrentReading").ToString( (۶ 
> { 
Console.WriteLine("Temperature:\t" + buffer); 

| } 
| } 
| } 
| } 
b 


c:\Users\Administrador\source\repos\TestVM_3\TestVM_3\bin\Debug>TestVM_3.exe 


Unhandled Exception: System.NullReferenceException: Object reference not set to an instance of an object. 
at TestVM_3.Program.Main(String[] args) in c:\users\administrador\source\repos\TestVM_3\TestVM_3\Program.cs:line 16 
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Connect Windows Management Instrumentation Tester 


Namespace 


[root \cimv2 


Connection: 


i : IWbemServices 
Using: |IWbemLocator (Namespaces) : - 


Enum Classes... Enum Instances... | Open Namespace... Edit Context... 


Retuming: | WbemServices 


Create Class... ate Instance... Ee Create Refresher. 


Credentials Open Class Open Instance. 


User 


Delete Class... Delete Instance.. Execute Method 


Password 
Method Invocation Options 


Authority (^ Asynchronous Enable All Privileges 


(^ Synchronous Use Amended Qualifiers 
How to interpret empty password 


(e Semisynchronous Direct Access on Read Operations 


f NULL (^ Blank { | 
| | Use NextAsync (enum. only) 


Impersonation level Authentication level 10 Batch Count (enum. only) 5000 Timeout (msec., -1 for infinite) 
Identify (^ None (e 


т "n 一 
Impersonate Connection ۲ 


Delegate ^ Call 


Query Query Result 
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E WGL: select * from Win iperatureProb: 
Enter Query WGL: sele Win32_Temperature e 


1objects| max.batch: 1 Done 


[ Retrieve class prototype 
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Object editor for Win32_TemperatureProbe.DevicelD="root\\cimv2 0 


M BOOLEAN TRUE 
M SINT32 1033 (0х409) 
3 CIMWin32 
ΙΑΕΑΈΕΔΒΠ.ΩΑΕΕ.1147.ΔΔ 


> 
Edit Qualifier Delete Qualifier 


| Hide System Properties | Local Only 


ν 


References 


СІМ UINT32 «πω» 
CIM_BOOLEAN «null 


Win32 TemperatureProbe 


^ =, 
nmssociato 


Сэ Сэ Сэ СЭ 
IO uo 0 


q 
ü! 
m 
о 


Refresh Object 


一 - ۱ cD ۳ 
Description N CPU Intemal Temperature 
r^, r^, ` - ^ 

dmt بو‎ mm 1 ) ` s b ——À n 


v 


» Update type 


ff ОЧ 
Delete Property Create only 


Update only 


Either 
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Busing System; 
using System.Management; 


Enamespace TestVM 3 


κ 
B. public class Program 
lE 
B : public static void Main(string[] args) 
тн 
| | |  ManagementClass tempClass = 
' new ManagementClass("Win32 TemperatureProbe"); 
| |  ManagementObjectCollection tempinstance = tempClass.GetInstances(); 
B | | foreach (ManagementObject aborges in tempinstance) 
| ME ni >. 
| 1 τ ۷ 
日 | | | if (Istring.IsNullOrWhiteSpace(aborges.GetPropertyValue("Status").ToString())) 
EC ο { 
| | string buffer - aborges.GetPropertyValue("Status").ToString(); 
| | | Console.WriteLine("\nStatus: ”+ buffer + " Thus, the program is running in a physical host!"); 
NT E ) 
| | | | catch (NullReferenceException e) 
гэг 
| | | | | Console.WriteLine("\nSomething Wrong Happened!", e); 
Ποπ 
۰ ЖЕ, 
: : | Console.WriteLine("This program IS RUNNING in a virtual machine!"); 
ME M 
|] 
} 
> @ [26] {System.Management.PropertyData} object {System.Management.PropertyData} 
“ο [27] {System.Management.PropertyData} object {System.Management.PropertyData} 
AF IsArray false bool 
Ф IsLocal true bool 
# Name "Status" Q ~ string 
Ж Origin “СЇМ ManagedSystemElement" Q ~ string 
> £ Qualifiers {System.Management.QualifierDataCollection} System.Management.QualifierDataCollection 
^ Туре String System.Management.CimType 
Ж Value "OK" Q ~ object {string} 


> € Non-Public membe 
DEF CON CHINA 1.0 (2019) 
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У 在 虚拟 机 中 不 支持 获取 温度 数据 。 


v AH, KE кы a 它们 是 否 在 虚拟 
机 上 运行 。 


Name Value Type 
@ e System.Management.Manag (System.Management.ManagementObjectCollection.Managemt System.Management.ManagementObjectCollection.ManagementObjt 
b € tempClass {\\WIN81\ROOT\cimv2:Win32_TemperatureProbe} System.Management.ManagementClass 
4 @ tempinstance {System.Management.ManagementObjectCollection} System.Management.ManagementObjectCollection 
Ж Count 0 int 
Jf IsSynchronized false bool 
b Ж SyncRoot {System.Management.ManagementObjectCollection} object {System.Management.ManagementObjectCollection} 


> Фу Static members 
P € Non-Public members 
4 © Results View Expanding the Results View will enumerate the lEnumerable 


"EE V و‎ ос 


物理 主机 : V BH: 


CA» VM Test2.exe C:\> VM Test2.exe 


状态 : 好 的 ， 程序 在 物理 主机 上 运行 ! 这 个 程序 正在 虚拟 机 中 运行 ! 
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n Ja zie: 


v 在 尝试 打开 现代 保 扩 器 之 前 ， 了解 常用 的 反 逆 向 技术 是 非常 必要 


0 


У MIASM 和 METASM 是 处 理 和 消除 复杂 代码 混 消 的 出 色 工 具 。 
v 仿真 是 理解 小 而 复杂 的 代码 段 的 一 种 可 能 的 蔡 代 方 法 。 


ν΄ DTrace 在 Solaris 上 做 得 很 好 , 请 继续 关注 它 可 能 是 Windows 操 作 系 
统 上 的 一 个 优秀 工具 。 @ 


v 尽管 优秀 的 研究 已 经 发 现 了 复杂 的 反 虚 拟 化 技术 ， 但 仍然 存在 许 
多 其 他 简单 而 智能 的 技术 ， 所 以 请 当心 ! 
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*$* Acknowledgments to: 


Y DEF CONES T TE A R, 对 我 非常 友好 
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VIDE: ۸.۵ 35351۴۳۴ ۸. Ө 
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